Journalnummer: 2016-623-0055
Kommunernes Landsforening (KL) er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har KL udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.
Datatilsynets planlagte tilsyn med private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, fokuserede i 2016 navnlig på:
- Iagttagelse af Datatilsynets vilkår,
- databehandleraftaler, og
- den dataansvarliges kontrol med databehandlere.
Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der ved brug af diverse oplysningsskemaer er stillet spørgsmål om. Der er således ikke foretaget en gennemgang af samtlige vilkår fra Datatilsynet eller krav efter persondataloven1 i denne sag.
Sammenfattende kan Datatilsynet konkludere
- at KL har ni verserende projekter, hvor der behandles personoplysninger,
- at Datatilsynet har givet KL tilladelse til fem af disse projekter, mens de øvrige fire er anmeldt via Danmarks Statistiks anmeldelse.
- Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
3.1. at KL for de fire undersøgte projekter iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
3.2. at KL for de fire undersøgte projekter iagttager Datatilsynets vilkår om passwords.
- Vedrørende databehandleraftaler:
4.1. at KL har oplyst, at der er indgået databehandleraftale med den databehandler, der anvendes, men
4.2. at det fremsendte eksempel på en databehandleraftale ikke indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra KL, og at denne aftale således ikke kan anses som en databehandleraftale.
- Vedrørende kontrol med databehandlere:
5.1. at KL ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandleren skal påses.
Datatilsynet finder det samlet set beklageligt, at KL som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.
En nærmere gennemgang af sagen følger nedenfor:
Iagttagelse af Datatilsynets vilkår
KL har oplyst, at KL’s databehandler er blevet gjort bekendt med vilkårene i den relevante tilladelse fra Datatilsynet.
Datatilsynets vilkår for sikkerhed – krav om kryptering
KL skulle for hvert af de fire verserende projekter oplyse, om identifikationsoplysninger, der behandles elektronisk, er krypteret, erstattet af et kodenummer el. lign., eller om alle oplysninger lagres krypteret.
Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:
”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”
Datatilsynet lægger på baggrund af det oplyste i sagen til grund, at KL iagttager dette vilkår.
Datatilsynets vilkår for sikkerhed – krav om passwords
KL skulle endvidere for hvert af de fire verserende projekter svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.
Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:
”Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”
KL’s besvarelse viser, at der for alle verserende projekter er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger, at der er stillet krav om, at de anvendte passwords skal holdes fortroligt/hemmeligt, og at der sker udskiftning af passwords med faste intervaller.
Databehandleraftaler
Datatilsynets tilsyn med KL omfattede en stikprøvevis undersøgelse af KL’s efterlevelse af persondatalovens krav2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.
KL har oplyst, at der benyttes én databehandler, som der er indgået en skriftlig databehandleraftale med, jf. persondatalovens § 42, stk. 2.
Datatilsynet har anmodet om at få databehandleraftalen indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale, men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra KL. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven.
Den fremsendte aftale, som omhandler autorisation til KL, indeholder ingen formuleringer om, at databehandleren (Danmarks Statistik) alene handler efter instruks fra KL, og kan efter Datatilsynets opfattelse ikke anses for en databehandleraftale.
Den dataansvarliges kontrol med databehandlere
KL har i oplysningsskemaet svaret ja til, at KL har påset3, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven.
Under beskrivelsen af, hvordan sikkerheden er påset, har KL anført, at ”Danmarks Statistiks forskerservice har omfattende sikkerhed og sikkerhedsregler for opbevaring og anvendelse af individdata til analyse og forskningsformål, som KL følger. KL oplærer alle nye medarbejdere i retningslinjerne for brug af data i Danmarks Statistiks forskerservice, samt genopfrisker reglerne kvartalsvist for alle medarbejdere. KL har i øvrigt løbende dialog med Danmarks Statistiks forskerservice om KL’s forskellige projekter hos Danmarks Statistik.”
Datatilsynet vil ikke afvise, at KL som dataansvarlig vil kunne påse, at sikkerheden hos Danmarks Statistik er tilstrækkelig, ved hjælp af dokumentation herfor, som Danmarks Statistik måtte stille til rådighed for de dataansvarlige og/eller offentligheden. Dette kunne eksempelvis være tilfældet, hvis Danmarks Statistik giver KL adgang til (eller offentliggør) en årlig revisionserklæring fra en uafhængig tredjepart, som også dækker de behandlinger, som KL får databehandlet hos Danmarks Statistik.
KL’s henvisninger til Danmarks Statistiks generelt høje standard og godkendelser fra andre kan imidlertid ikke antages at udgøre et tilsyn fra KL’s side i forhold til databehandleren. Datatilsynet har noteret sig det oplyste om, at KL også er i løbende dialog med Danmarks Statistik. Der ses imidlertid ikke herved at være beskrevet nogen form for tilsyn fra KL’s side. På grundlag af de modtagne oplysninger må Datatilsynet derfor konkludere, at KL ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandleren skal påses.
Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere:
- at KL har ni verserende projekter, hvor der behandles personoplysninger,
- at Datatilsynet har givet KL tilladelse til fem af disse projekter, mens de øvrige fire er anmeldt via Danmarks Statistiks anmeldelse.
- Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
3.1. at KL for de fire undersøgte projekter iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
3.2. at KL for de fire undersøgte projekter iagttager Datatilsynets vilkår om passwords.
- Vedrørende databehandleraftaler:
4.1. at KL har oplyst, at der er indgået en databehandleraftale med den databehandler, der anvendes, men
4.2. at det fremsendte eksempel på en databehandleraftale ikke indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra KL, og at denne aftale således ikke kan anses som en databehandleraftale.
- Vedrørende kontrol med databehandlere:
5.1. at KL ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandleren skal påses.
Datatilsynet finder det samlet set beklageligt, at KL som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.
KL bedes oplyse, hvilke skridt organisationen vil tage med henblik på at sikre efterlevelse af persondataloven fremover.
KL’s svar bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at omtale denne sag på tilsynets hjemmeside.
__________________
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.