Journalnummer: 2012-632-0031
1. Datatilsynet vender hermed tilbage til spørgsmålet om overholdelse af logningskravet i § 19 i sikkerhedsbekendtgørelsen i forbindelse med behandling af personoplysninger, der foretages hos Danmarks Statistik (herefter DST).
Datatilsynet er på baggrund af en it-inspektion, som Rigsrevisionen foretog hos DST i 2011, blevet bekendt med, at det er Rigsrevisionens opfattelse, at DST i forbindelse med behandling af personoplysninger ikke foretager logning i overensstemmelse med kravet herom i sikkerhedsbekendtgørelsen.
I forbindelse med sagens behandling har der været afholdt et møde mellem Datatilsynet og DST, ligesom Datatilsynet har indhentet udtalelser fra DST.
Endvidere har Datatilsynet indhentet oplysninger fra datatilsynene i Norge, Sverige og Finland, fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) samt fra flere offentlige forskningsinstitutioner i Danmark.
2.Efter behandling af sagen i Datarådet skal Datatilsynet udtale følgende:
2.1. Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
I forbindelse med indførelsen af persondataloven fastsatte justitsministeren i medfør af persondatalovens § 41, stk. 5, nærmere regler om de i lovens § 41, stk. 3, omtalte sikkerhedsforanstaltninger for så vidt angår behandling af personoplysninger, der foretages for den offentlige forvaltning. Reglerne er fastsat i sikkerhedsbekendtgørelsen.
Kravet om logning af personoplysninger fremgår af sikkerhedsbekendtgørelsens § 19. Efter § 2, stk. 2, i bekendtgørelsen gælder logningskravet som udgangspunkt for de anmeldelsespligtige behandlinger, som foretages af offentlige myndigheder.
Formålet med logning er at sikre et spor efter en autoriseret brugers behandling af fortrolige eller følsomme personoplysninger. Dette spor vil i en konkret sag eller ved en stikprøvekontrol skulle holdes op mod brugerens forklaring om den givne behandling. Logning har således – udover efterforskning – et præventivt formål, idet logningen kan bevirke, at en bruger undlader at foretage behandling af personoplysninger, som han eller hun er autoriseret til, hvis det ikke sker i en arbejdsmæssig sammenhæng.
2.2. DST har oplyst, at den behandling af data, der foretages i DST, indebærer en manuel behandling af data, der bl.a. består i fejlsøgning og –rettelse. Fejlsøgning, fejlretning og analyser af data er decentraliseret, så kun særligt autoriserede medarbejdere foretager denne behandling.
På baggrund af beskrivelsen af de behandlinger, der foretages hos DST, er det Datatilsynets opfattelse, at kravet i sikkerhedsbekendtgørelsens § 19, stk. 1, om logning gælder for disse behandlinger. Navnlig bemærkes det, at behandlingerne efter Datatilsynets opfattelse ikke falder ind under beskrivelsen af ”batch”-kørsler som omhandlet i bekendtgørelsens § 19, stk. 3.
Det bemærkes endvidere, at undtagelsesbestemmelsen i bekendtgørelsens § 19, stk. 4, heller ikke ses at finde anvendelse, da der ikke foreligger oplysning om, at de omhandlede identifikationsoplysninger er krypteret eller erstattet med kodenummer eller lignende.
DST har foreslået, at der indsættes en undtagelsesbestemmelse i § 19, hvorefter det generelle krav om logning ikke skal gælde for behandling af personoplysninger, der udelukkende sker med henblik på udarbejdelse af offentlig statistik eller videnskabelige undersøgelser. DST har i den forbindelse foreslået, at der stilles krav om, at den dataansvarlige skal etablere passende sikkerhedsforanstaltninger, bl.a. for at sikre, at data ikke behandles med henblik på andre formål eller bruges i forbindelse med forholdsregler eller afgørelser rettet mod et enkeltindivid, ligesom det skal sikres, at det kun er den nødvendige personkreds, der autoriseres til at benytte de enkelte datasæt, og at forsøg på uautoriseret adgang forhindres og forfølges.
Datatilsynet skal hertil bemærke, at de foreslåede sikkerhedsforanstaltninger efter tilsynets opfattelse ikke vil bidrage til at opnå en yderligere sikkerhed mod uberettiget brug af data, der kan kompensere for en undtagelse fra logningskravet. Det bemærkes, at de nævnte sikkerhedsforanstaltninger allerede gælder ved siden af logningskravet i § 19. Det fremgår således af sikkerhedsbekendtgørelsens § 16 og § 18, at autorisationer skal angive, i hvilket omfang brugerne må behandle personoplysninger, og at der skal føres kontrol med afviste adgangsforsøg.
Logning må efter Datatilsynets opfattelse anses for vigtig for at undgå uberettiget brug af persondata – både præventivt, men også bagudrettet, så det kan efterspores, hvem der måtte have foretaget et uberettiget opslag.
Dette gør sig også gældende for DST, hvor det som følge af organisationens særlige rolle vil være muligt at fremsøge oplysninger – herunder følsomme oplysninger – om enhver person i Danmark.
På baggrund af oplysninger, som er indhentet fra andre institutioner, der foretager tilsvarende behandlinger af personoplysninger, må Datatilsynet endvidere lægge til grund, at det vil være muligt at indrette behandlingen af oplysninger i forbindelse med statistikproduktion på en sådan måde, at logningskravet i sikkerhedsbekendtgørelsens § 19 kan opfyldes.
3. Datatilsynet skal på den baggrund henstille, at DST tager skridt til at indrette sin behandling af personoplysninger på en sådan måde, at logningskravet i sikkerhedsbekendtgørelsens § 19 kan opfyldes ved at
- foretage logning af tidspunkt, bruger, type af anvendelse og
angivelse af den person, de anvendte oplysninger vedrørte
(§ 19, stk. 1),
- foretage logning af tidspunkt, bruger, type af anvendelse og
søgekriteriet (§ 19, stk. 1),
- foretage rene ”batch”-kørsler samt foretage logning af bruger
og tidspunkt for behandlingen (§ 19, stk. 3) eller
- kryptere identifikationsoplysninger eller erstatte disse med et
kodenummer eller lignende samt foretage logning af bruger og
tidspunkt for behandlingen (§ 19, stk. 4).
Datatilsynet skal anmode DST om at vende tilbage med en redegørelse for, hvilke skridt DST agter at tage med henblik på at etablere logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19. Redegørelsen bedes være Datatilsynet i hænde senest den 15. august 2014.
Det bemærkes for god ordens skyld, at Datatilsynet ikke har mulighed for at dispensere fra bestemmelserne i sikkerhedsbekendtgørelsen. Såfremt DST finder, at der er behov for en ændring af bekendtgørelsen, henvises DST til at rette henvendelse til Justitsministeriet.
4. Afsluttende bemærkninger
Datatilsynet skal afslutningsvis orientere om, at tilsynet forventer at offentliggøre dette brev på tilsynets hjemmeside.
Kopi af brevet er sendt til Rigsrevisionen, Justitsministeriet samt Økonomi- og Indenrigsministeriet.