Kommunes manglende kontrol med databehandlere

Publiceret 08-12-2014
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2014-632-0115

Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet ved brev af 29. oktober 2014 bad Brøndby Kommune om en udtalelse angående kommunens indgåelse af databehandleraftaler samt kontrol med databehandlere.

Brøndby Kommune er efterfølgende ved brev af 17. november 2014 kommet med en udtalelse til sagen.

Af Brøndby Kommunes udtalelse fremgår det bl.a., at det er korrekt – som anført i artiklen fra Version21  – at Brøndby Kommune ikke har indgået skriftlige sagsbehandlingsaftaler med Jobcenter Brøndbys eksterne samarbejdspartnere, men alene med jobcentrets eksterne leverandører, hvor leverandørerne har haft adgang til jobcentrets fagsystem.

Endvidere fremgår det af udtalelsen, at det ligeledes er korrekt, at der, som anført i artiklen, ikke er foretaget revision af it-sikkerheden hos Jobcenter Brøndbys eksterne samarbejdspartnere, og at Brøndby Kommune således på nuværende tidspunkt ikke kan garantere eksistensen af et acceptabelt sikkerhedsniveau hos alle eksterne samarbejdspartnere. Brøndby Kommune er heller ikke vidende om, hvordan data fysisk opbevares hos de eksterne samarbejdspartnere.

Herudover fremgår det af udtalelsen, at kommunens databehandlere ikke har behandlet fortrolig information, men alene oplysninger om bl.a. CPR-nummer.

Endelig fremgår det af udtalelsen, at Brøndby Kommune nu har indført en procedure, hvor databehandleraftaler indarbejdes i bilag til de kontrakter, der indgås med eksterne samarbejdspartnere, ligesom kommunen er i gang med at afdække, hvorvidt persondatalovens krav om databehandleraftaler er overholdt i resten af kommunen.

Datatilsynet skal herefter udtale følgende:

1. Indledningsvist skal Datatilsynet bemærke, at tilsynet ikke er enig i Brøndby Kommunes vurdering af, at kommunens databehandlere ikke har behandlet ”fortrolig information”.

I den forbindelse skal Datatilsynet påpege, at oplysninger om personnummer efter tilsynets praksis er at betragte som en oplysning af fortrolig karakter2.  Hertil kommer, at oplysninger om, at en person har været i jobtræning eller oplysninger om en persons langtidsledighed også kan være oplysninger af fortrolig karakter og – efter omstædigheder – sågar kan være følsomme personoplysninger omfattet af persondatalovens3 § 8.

2. I forhold til Brøndby Kommunes brug af databehandlere og kontrol med disse, da følger det af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

Af sikkerhedsbekendtgørelsens4 § 7 følger det tillige, at hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren.

Databehandleraftale skal indgås uanset om der sker behandling af følsomme eller almindelige ikke-følsomme personoplysninger.

Det følger endvidere af Datatilsynets vejledning til sikkerhedsbekendtgørelsen5 , at den dataansvarlige aktivt skal sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren.

Brøndby Kommune har i ovennævnte udtalelse oplyst, at Brøndby Kommune ikke har indgået skriftlige databehandleraftaler med kommunens eksterne samarbejdspartnere, ligesom kommunen ikke har foretaget sig noget for at sikre, at de anvendte databehandlere har efterlevet de krævede sikkerhedsforanstaltninger.

På denne baggrund finder Datatilsynet det samlet set kritisabelt, at Brøndby Kommune ikke har iagttaget kommunens forpligtelser efter persondataloven og sikkerhedsbekendtgørelsen.

Datatilsynet har noteret sig, at Brøndby Kommune har indført en procedure, hvor databehandleraftaler indarbejdes i bilag til de kontrakter, der indgås med eksterne samarbejdspartnere, og at kommunen er i gang med at afdække, hvorvidt persondatalovens krav om databehandleraftaler er overholdt i resten af kommunen.

Samtidig har Datatilsynet noteret sig, at Brøndby Kommune ikke har oplyst, om kommunen fremadrettet vil føre den krævede kontrol med kommunens databehandlere. Datatilsynet skal derfor henstille til, at Brøndby Kommune hurtigst muligt iværksætter den fornødne kontrol med kommunens databehandlere.

3. Afslutningsvist skal Datatilsynet bemærke, at tilsynet ikke skal godkende databehandleraftaler, hvorfor tilsynet ikke har forholdt sig nærmere til det eksempel på en databehandleraftale, som Brøndby Kommune har vedlagt sin udtalelse.

Herudover tilkommer det ikke Datatilsynet at have en politisk holdning til omfanget af den bureaukratiske og administrative opgave, som Brøndby Kommune måtte blive pålagt som følge af persondatalovens og sikkerhedsbekendtgørelsens regler om indgåelse af databehandleraftaler og kontrol med databehandlere. Datatilsynets opgave er efter persondatalovens § 55 at føre tilsyn med enhver behandling, der omfattes af loven, herunder således også reglerne om indgåelse af databehandleraftaler og kontrol med databehandlere. Det bemærkes i øvrigt, at reglerne i persondatalovens § 42, stk. 2 (om indgåelse af databehandleraftaler), bl.a. implementerer databeskyttelsesdirektivets6 artikel 17, stk. 3. Hvis Brøndby Kommune finder reglerne uhensigtsmæssige, bør kommunen kontakte lovgiver herom.

4. For god ordens skyld kan det oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.

Datatilsynet foretager sig herefter ikke yderligere i sagen.

 

1 Pr. december 2014 er artiklen tilgængelig via www.version2.dk/artikel/kommuner-bryder-loven-intet-tilsyn-med-borgeres-personfoelsomme-oplysninger-69751.

2 Se bl.a. Datatilsynets sag med j.nr. 2008-211-0057, som er tilgængelig på www.datatilsynet.dk.

3 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
4 Bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
5 Vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
6 Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.