Logning i forbindelse med statistikproduktionen hos KORA

Publiceret 18-04-2017
Historisk afgørelse Private virksomheder

Journalnummer: 2015-632-0142

Datatilsynet tog i oktober måned 2015 en sag op af egen drift vedrørende KORA’s overholdelse af logningskravet i sikkerhedsbekendtgørelsen i forhold til personoplysninger, som KORA behandler udelukkende i statistisk eller videnskabeligt øjemed.

Efter anmodning fra Datatilsynet er KORA ved sin advokat kommet med udtalelser til sagen den 20. november 2015 og den 5. april 2017.

Datatilsynet må lægge til grund, at KORA som beskrevet i sikkerhedsbekendtgørelsens1 § 19, stk. 42, sidste punktum, foretog maskinel logning af bruger og tidspunkt for behandlingen, men at KORA ikke krypterede personhenførbare data, som kunne forekomme blandt observations- og interviewdata og i fraseparerede ID-filer, og at der ej heller var tale om, at identifikationsoplysningerne var erstattet med et kodenummer eller lignende.

På den baggrund må Datatilsynet lægge til grund, at KORA ikke levede op til logningskravet i sikkerhedsbekendtgørelsens § 19 i forbindelse med statistikproduktionen hos KORA. Datatilsynet finder dette kritisabelt.

Datatilsynet har noteret sig det oplyste om

  • at KORA i forlængelse af redegørelsen af 20. november 2015 til Datatilsynet har nedsat et Datasikkerhedsudvalg, hvis opgaver er at følge op på bl.a. sikkerhedsbekendtgørelsens bestemmelser, udarbejde vejledninger og retningslinjer m.v.,

  • at KORA har etableret procedurer og værktøjer til kryptering af observations- og interviewdata og af fraseparerede ID-filer,

  • at der er udarbejdet procedurer for sikker opbevaring af password,

  • at anvendelsen af procedurer og værktøjer er formidlet til KORAs medarbejdere på personalemøder, via e-mail og på intranettet, og

  • at KORA på denne baggrund er af den opfattelse, at KORA lever op til logningskravet i sikkerhedsbekendtgørelsens § 19, stk. 4.

Datatilsynet foretager sig på dette grundlag ikke yderligere i sagen.

Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.

_______________________________

1Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. 2Det følger af sikkerhedsbekendtgørelsens § 19, stk. 4, at bestemmelsen om logning i bekendtgørelsens § 19, stk. 1, ikke finder anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen.