Journalnummer: 2014-313-0362
1. KL har i e-mail af 30. januar 2014 rettet henvendelse til Datatilsynet vedrørende apps til smartphones og tablets, som KL har under udvikling og som skal bruges i kommunerne.
Det fremgår af henvendelsen, at der er tale om et værktøj til tidlig opsporing af sygdomstegn, faldende funktionsniveau og dårlig ernæringstilstand hos den ældre medicinske patient. KL har specifikt spurgt til log-in.
2. Datatilsynet kan i den anledning oplyse følgende:
Den dataansvarlige for behandling af oplysninger i en given løsning - herunder en såkaldt app – i dette tilfælde den enkelte kommune, har ansvaret for at kommunens brug af løsningen kan ske på betryggende vis og under iagttagelse af reglerne i persondataloven1 og sikkerhedsbekendtgørelsen2 – og tillige eventuel anden relevant lovgivning.
Nedenfor fremhæves en række problemstillinger, som Datatilsynet anbefaler, at kommunerne (og/eller KL på kommunernes vegne) afklarer i forhold til persondataloven og sikkerhedsbekendtgørelsen:
• Hvilke oplysningstyper behandles?
o Datatilsynet går ud fra, at der bl.a. behandles følsomme
oplysninger om helbredsforhold (persondatalovens § 7)
og/eller andre rent private forhold (persondatalovens § 8)
• Hvordan efterleves persondatalovens og sikkerhedsbekendt-
gørelsens regler om sikkerhed, herunder f.eks.:
o § 7, stk. 2, om særlige retningslinjer ved behandling
af personoplysninger uden for den dataansvarliges
lokaliteter3
o §§ 11, 12, 16 og 17 om autorisation og adgangskontrol
samt kontrol med autorisationer
o § 18 om kontrol med afviste adgangsforsøg, samt
o § 19 om logning.
• Hvordan efterleves de registreredes rettigheder, herunder f.eks.
indsigtsretten efter persondatalovens § 31.
Det står ikke Datatilsynet klart, om KL’s spørgsmål vedrørende
log-in på devisen er udtryk for, at alle andre spørgsmål er afklaret,
herunder om det overhovedet kan lade sig gøre at efterleve
sikkerhedsbekendtgørelsens krav, når følsomme personoplysninger
lagres på en smartphone eller tablet.
3. Med hensyn til datasikkerheden fremgår det af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Ifølge § 14 i sikkerhedsbekendtgørelsen må der kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
I Datatilsynets vejledning til § 14 i sikkerhedsbekendtgørelsen er bl.a. anført, at de særlige sikkerhedsforanstaltninger skal træffes efter myndighedens vurdering af sikkerhedsrisici i det konkrete tilfælde, herunder med hensyntagen til karakteren af de omhandlede oplysninger. For at kunne fastlægge sikkerhedsniveauet er det nødvendigt, at den dataansvarlige foretager en samlet risikovurdering, som omfatter alle elementer i kommunikationsforbindelsen.
4. Datatilsynet må i øvrigt som tilsynsmyndighed forbeholde sig sin stillingtagen i tilfælde af en eventuel klage eller lignende.
Eventuelle ændringer i de forhold, der er omfattet af de kommunale anmeldelser, skal meddeles Datatilsynet i overensstemmelse med persondatalovens § 46.
Datatilsynet foretager sig ikke yderligere i anledning af KL’s henvendelse.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3 Sikkerhedsbekendtgørelsens § 7, stk. 2, omfatter ikke kun klassiske PC-arbejdspladser (hjemmearbejdspladser) udenfor den dataansvarliges lokaliteter, men også brug af PDA’ere, tablets mv.
4 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.