Sammenfattende kan Datatilsynet konkludere

Transkript

1 Odense Kommune Flakhaven Odense C Att.: John Bonnerup Sendt med Digital Post 11. november 2016 Vedrørende tilsyn med behandling af personoplysninger Datatilsynet Borgergade 28, København K CVR-nr Telefon Fax dt@datatilsynet.dk J.nr Sagsbehandler Sissel M Kristensen Direkte Odense Kommune er blandt de myndigheder, som tilsynet har udvalgt til tilsyn i Efter anmodning fra Datatilsynet har kommunen udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet. Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserer i 2016 navnlig på: Uddybende sikkerhedsregler, myndighedens eget tilsyn, databehandleraftaler, og myndighedens kontrol med databehandlere Datatilsynet har endvidere været på besøg hos Odense Kommune. Under Datatilsynets besøg drøftedes krav om datasikkerhed med afsæt i kommunes besvarelse af Datatilsynets oplysningsskemaer. Der blev endvidere drøftet offentliggørelse af personoplysninger på internettet, instruktion af medarbejdere og brug af personoplysninger uden for den dataansvarliges lokaliteter. Udkast til referat af tilsynet har været fremsendt til kommunen. Endeligt referat vedlægges. Sammenfattende kan Datatilsynet konkludere 1. at Odense Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler, 2. at Odense Kommune efterlever kravet om årlig gennemgang af sikkerhedsreglerne, 3. at Odense Kommune ikke som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, og 4. at Odense Kommune ikke har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens 19 i kommunens ESDH-system, og 5. at Odense Kommune ikke har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede, 6. at Odense Kommune kun i et begrænset omfang har levet op til persondatalovens krav om skriftlige databehandleraftaler,

2 2 7. at et fremsendt eksempel på en aftale indeholder ingen formuleringer om, at databehandleren alene handler efter instruks fra kommunen, og at denne aftale således er ikke en databehandleraftale, 8. at Odense Kommune kun i et begrænset omfang har levet op til persondataloven krav om, at sikkerheden hos databehandlerne skal påses. Efter Datatilsynets opfattelse er der med pkt. 3, 4, 5, 6, 7 og 8 tale om meget omfattende mangler i Odense Kommunes efterlevelse af persondataloven i forhold til behandling af såvel almindelige som følsomme personoplysninger. Datatilsynet finder dette meget kritisabelt. Datatilsynet har ved brev af dags dato underrettet byrådet i Odense Kommune om de konstaterede overtrædelser af persondataloven. En nærmere gennemgang af sagen følger nedenfor. 1. Uddybende sikkerhedsregler Efter anmodning fra Datatilsynet har Odense Kommune indsendt et eksemplar af de uddybende sikkerhedsregler, kommunen har fastsat til uddybning af reglerne i sikkerhedsbekendtgørelsen 1. Datatilsynet har foretaget stikprøvevis 2 opslag i disse og eventuelt bedt kommunen afklare, om nærmere retningslinjer findes. Det skal for god ordens skyld understreges, at Datatilsynet ikke har gennemgået de uddybende sikkerhedsregler i alle detaljer, og at tilsynet således ikke med dette tilsyn kan siges at have godkendt reglerne. Odense Kommune har endvidere besvaret spørgsmål fra Datatilsynet til afklaring af, hvorvidt de uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen, gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. Kommunen har oplyst, at de uddybende sikkerhedsregler bliver gennemgået årligt og har oplyst datoer for sidste gennemgang. Konklusioner vedrørende uddybende sikkerhedsregler På grundlag af de modtagne oplysninger kan Datatilsynets med tilfredshed konkludere, at Odense Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler, og at 1 Det følger af sikkerhedsbekendtgørelsen 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamaterisle samt anvendelse ad edb-udstyr. 2 Tilsynets stikprøve fokuserede på kravet om, at der skal være fastsat særlige retningslinjer for behandling af personoplysninger på pc-arbejdspladser uden for den dataansvarlige myndigheds lokaliteter, jf. sikkerhedsbekendtgørelsens 7, stk. 2.

3 3 Odense Kommune efterlever kravet om årlig gennemgang af sikkerhedsreglerne. Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne behandles i afsnit 5 nedenfor. 2. Kommunens eget tilsyn Datatilsynets har spurgt, om kommunen har fastsat retningslinjer for kommunens eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for kommunen, jf. sikkerhedsbekendtgørelsens 5, stk. 2. Odense Kommune har svaret nej til, at der er retningslinjer for kommunens eget tilsyn, og har givet følgende forklaring: It-sikkerhed drøftes på møder i IT Forum (Sikkerhedsforum). IT Forum er startet i IT sikkerhed drøftes internt mindst en gang om måneden i IT og Digitalisering (nye tiltage og problemer). IT sikkerhed drøftet med ledelsen i Borgmesterforvaltningen mindst en gang om måneden. I oplysningsskemaet anmodede Datatilsynet endvidere som en stikprøve kommunen om at oplyse, om og hvordan der er ført tilsyn på to områder. Odense Kommune har hidtil ikke ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens 19 i kommunens ESDHsystem, og har givet følgende begrundelse: Odense Kommune har hidtil ikke ført tilsyn med, at kommunen halvårligt sikrer, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede, jf. 17, stk. 1. Konklusioner vedrørende kommunens eget tilsyn På grundlag af de modtagne oplysninger kan Datatilsynets konkludere, at Odense Kommune ikke som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, og at Odense Kommune ikke har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens 19 i kommunens ESDH-system, ligesom Odense Kommune ikke har ført tilsyn med, at kommunen halvårligt sikrer, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede. Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne behandles i afsnit 5 nedenfor. 3. Databehandleraftaler Datatilsynets tilsyn med Odense Kommune omfattede en stikprøvevis undersøgelse af kommunens efterlevelse af persondatalovens krav 3 om, at der skal 3 Det følger af persondatalovens 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det frem-

4 4 være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler. I forbindelse med denne stikprøveundersøgelse har Datatilsynet udvalgt fem områder, hvor kommunen er blevet bedt om at oplyse om brugen af databehandlere. Odense Kommune har besvaret tilsynets spørgsmål om, hvor mange databehandlere kommunen benytter på de fem områder, således: Beskæftigelse 11 Pas og kørekort 2 Børnepasning 3 Sundhedspleje 2 Ældrepleje 16 Datatilsynet har anmodet kommunen om at udfylde et oplysningsskema for hver af de anvendte databehandlere. I den forbindelse har Datatilsynet også spurgt om, hvorvidt der benyttes underdatabehandler(e) i forhold til de enkelte databehandlere. Hvis dette besvares med ja, har Datatilsynet anmodet om, at kommunen udfylder et oplysningsskema, for hver underdatabehandler, da disse jo også er kommunens databehandlere. Odense Kommunes besvarelser viser, at der er indgået databehandleraftaler med under halvdelen af de anvendte databehandlere. Kommunen har i nogen grad begrundet, hvorfor dette er tilfældet. Datatilsynet har stikprøvevis anmodet om at få én af de omhandlede databehandleraftaler indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra kommunen. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven. Den fremsendte aftale indeholder ingen formuleringer om, at databehandleren alene handler efter instruks fra kommunen, og kan efter Datatilsynets opfattelse ikke anses for en databehandleraftale. Konklusioner vedrørende databehandleraftaler På grundlag af de modtagne oplysninger kan Datatilsynets konkludere, at Odense Kommune kun i et begrænset omfang har levet op til persondatalovens krav om skriftlige databehandleraftaler. gå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

5 5 Det fremsendte eksempel på en aftale indeholder ingen formuleringer om, at databehandleren alene handler efter instruks fra kommunen, og aftalen er således ikke en databehandleraftale. Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne behandles i afsnit 5 nedenfor. 4. Kommunens kontrol med databehandlere Kommunen skulle for hver af de anvendte databehandlere også oplyse, om kommunen har påset 4, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen. Odense Kommunes besvarelser viser, at sikkerheden er påset hos et begrænset antal af de anvendte databehandlere. Kommunen har begrundet, hvorfor dette er tilfældet, samt beskrevet, i hvilket omfang kommunen agter at påse dette fremover. Konklusioner vedrørende kommunes kontrol med databehandlere På grundlag af de modtagne oplysninger kan Datatilsynets med tilfredshed konkludere, at Odense Kommune i vidt omfang har levet op til persondataloven krav om, at sikkerheden hos databehandlerne skal påses. 5. Sammenfatning og fremadrettede initiativer Sammenfattende kan Datatilsynet konkludere 1. at Odense Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler, 2. at Odense kommune efterlever kravet om årlig gennemgang af sikkerhedsreglerne, 3. at Odense Kommune ikke som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, og 4. at Odense Kommune ikke har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens 19 i kommunens ESDH-system, og 5. at Odense Kommune ikke har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede, 6. at Odense Kommune kun i et begrænset omfang har levet op til persondatalovens krav om skriftlige databehandleraftaler, 7. at et fremsendt eksempel på en aftale indeholder ingen formuleringer om, at databehandleren alene handler efter instruks fra kommunen, og at denne aftale således er ikke en databehandleraftale, 8. at Odense Kommune kun i et begrænset omfang har levet op til persondataloven krav om, at sikkerheden hos databehandlerne skal påses. 4 Det følger af persondatalovens 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

6 6 Efter Datatilsynets opfattelse er der med pkt. 3, 4, 5, 6, 7 og 8 tale om meget omfattende mangler i Odense Kommunes efterlevelse af persondataloven i forhold til behandling af såvel almindelige som følsomme personoplysninger. Datatilsynet finder dette meget kritisabelt. Datatilsynet skal anmode Odense Kommune om en redegørelse for, hvilke skridt der vil blive taget for at sikre en bedre efterlevelse af persondataloven fremover, herunder på de i pkt. 3, 4, 5, 6, 7, og 8 omtalte områder. Datatilsynet har ved brev af dags dato underrettet byrådet i Odense Kommune om de konstaterede overtrædelser af persondataloven. Kommunens svar bedes fremsendt, så det er tilsynet i hende senest den 12. december Afsluttende bemærkninger Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside. Datatilsynet afventer herefter svar fra Odense Kommune. Med venlig hilsen Lena Andersen Kontorchef Bilag: Endelig referat af tilsynsbesøget