Journalnummer: 2018-432-0004
1. Datatilsynet vender hermed tilbage til sagen, hvor tilsynet på baggrund af omtale i medierne bad Region Syddanmark om en udtalelse vedrørende regionens kontrol med sikkerheden hos databehandleren Rambøll.
Efter anmodning fra Datatilsynet er Region Syddanmark ved brev af 1. februar 2018 fremkommet med en udtalelse til sagen. Region Syddanmark er endvidere ved e-mail af 23. marts 2018 samt telefonisk samtale af 17. april 2018 fremkommet med supplerende oplysninger til brug for sagen.
Datatilsynet er i forbindelse med tilsynet hos Region Syddanmark blevet opmærksom på, at regionen ikke har haft en databehandleraftale med Rambøll i perioden februar 2012 til februar 2016.
2. I lyset heraf skal Datatilsynet udtale følgende:
Efter en gennemgang af sagen finder Datatilsynet det meget beklageligt, at Region Syddanmark ikke har levet op til persondatalovens1 krav om indgåelse af en databehandleraftale og kontrol med databehandleren Rambøll. Region Syddanmark har efter Datatilsynets opfattelse derfor ikke levet op til kravene i persondatalovens § 42, stk. 1, og stk. 2.
Datatilsynet har noteret sig, at Region Syddanmark har oplyst, at regionen indhenter en årlig revisionserklæring som led i regionens kontrol med databehandleren Rambøll, at regionen imidlertid først den 18. januar 2018 modtog og gennemgik revisionserklæringen fra januar 2017, idet regionen først har efterspurgt erklæringen efter, at Datatilsynet har rettet henvendelse til regionen i forbindelse med tilsynet, og at regionen ikke på anden måde, herunder ved eksempelvis fysiske tilsyn, har påset sikkerheden hos Rambøll.
Datatilsynet har endvidere noteret sig, at Region Syddanmark har oplyst, at regionen i februar 2012 begyndte at anvende Rambøll som databehandler, og at regionen først i februar 2016 indgik en databehandleraftale med Rambøll.
Endeligt har Datatilsynet noteret sig det af Region Syddanmark oplyste om, at regionen overvejer at oprette en stilling dedikeret til at føre tilsyn med regionens databehandlere, og at regionen fremadrettet har indskærpet procedurerne for eget tilsyn og opfølgning af databehandleraftaler.
Datatilsynet foretager sig herefter ikke yderligere i sagen.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.
___________________________
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer