Sagsnr NOTAT OM DATABEHANDLING

Transkript

1 Sagsnr NOTAT OM DATABEHANDLING

2 INDHOLDSFORTEGNELSE 1. Beskrivelse af problemstillingen Overladelse af persondata Behandlingshjemmel Dataansvar Databehandlerinstruks Anmeldelse til Datatilsynet Opsummering... 5 Side 2 af 6

3 1. Beskrivelse af problemstillingen Dataproces v/morten Lindblad (herefter benævnt Dataproces ) har bedt BvHD om at udarbejde et notat vedrørende Dataproces muligheder for at foretage behandling af kommunale data, indeholdende personoplysninger, herunder følsomme personoplysninger. Dataproces har overfor BvHD oplyst at virksomheden pt. er ved at lave aftale med en kommune omkring analyse af kommunens data, med henblik på at finde fejlagtige udbetalinger og manglende betalinger. Dataproces analyse foretages indledningsvist på baggrund af udleverede datasæt, og på baggrund af analysens positivliste foretages detaljeret gennemgang af de fundne sager, med henblik på verificering af at der er tale om fejlagtig udbetaling eller manglende betaling. På den baggrund har Dataproces ønsket Bender von Haller Dragsteds vurdering af, hvorvidt kommunerne må udlevere persondata til Dataproces med henblik på udførelse af sådanne opgave for kommunerne. 2. Overladelse af persondata Hvorvidt en kommune kan give tredjemand adgang til at behandle data på sine vegne, afhænger af flere forskellige forhold. Disse skal behandles nedenfor Behandlingshjemmel For det første skal kommunen have hjemmel til at lade den pågældende behandling foretage. I nærværende situation er formålet med behandlingen at finde fejl i forhold til kommunale udbetalinger og manglende betalinger. Kommunen har en forpligtelse til at foretage udbetalinger til sine borgere i henhold til fx sociallovgivningen. Derfor vil der alt andet lige være en ret (og reelt også en pligt) for kommunen til at gennemgå udbetalingerne, for at kontrollere om det givne regelsæt er overholdt særligt når kommunen har en mistanke om at der foreligger uberettigede udbetalinger. Der vil derfor implicit kunne findes hjemmel til kommunens kontrol af udbetalingerne, i de regelsæt, som giver hjemmel til at foretage udbetalingerne. Hvorvidt kommunen i de konkrete tilfælde vil kunne kræve tilbagebetaling af gennemførte udbetalinger, er en anden sag, som ligger udenfor nærværende notat. Men det er dog klart, at i det omfang kommunens krav helt sikkert er uerholdelige, fx hvor der foreligger forældelse, savner behandlingen alt andet lige Side 3 af 6

4 et sagligt formål, og vil derfor mangle hjemmel i henhold til bl.a. persondataloven Dataansvar For det andet er det relevant at se på hvem der er dataansvarlig for de pågældende persondata. Alene i de tilfælde hvor kommunen er dataansvarlig, vil kommunen kunne lade en databehandler foretage behandling af data, som er i kommunens besiddelse. I andre tilfælde - altså hvor kommunen ikke er dataansvarlig - skal indgås særlig aftale om dette med den dataansvarlige. I forhold til de for BvHD nævnte datatyper, vil kommunen alt andet lige være dataansvarlig. Dette bør dog kontrolleres i forhold til hvert enkelt datasæt. I forhold til CPR gør et særligt forhold sig dog gældende, idet kommunen ikke er dataansvarlig for persondataene i CPR-registret. Det følger imidlertid af Indenrigs- og Sundhedsministeriets Standardvilkår for offentlige myndigheders adgang til CPR af 22. januar 2010, at: Myndigheders overladelse af data, som er modtaget fra CPR, til behandling på et servicebureau eller lign. betragtes ikke som videregivelse til private, såfremt databehandlerens behandling af oplysninger er i overensstemmelse med lov om behandling af personoplysninger. Det er således lovligt for kommunen at overlade data fra CPR til fx Dataproces, med henblik på behandling, under forudsætning af overholdelse af persondatalovens regler. I forhold til Dataproces direkte adgang til datasystemerne det er til BvHD oplyst, at Dataproces får adgang via kommunale logins, som var Dataproces medarbejdere ansat hos kommunen afhænger det af kommunens aftalemæssige forhold overfor de enkelte databehandlere, fx KMD om kommunen lovligt kan tildele Dataproces s medarbejdere sådanne logins. I det omfang det ikke er muligt at tildele sådanne logins til Dataproces medarbejdere, må data i stedet indhentes af kommunen og overlades til Dataproces behandling Databehandlerinstruks Som en betingelse for Dataproces behandling af kommunale data, skal der mellem kommunen og Dataproces indgås en skriftlig aftale en såkaldt databehandlerinstruks. I instruksen skal anføres under hvilke betingelser Dataproces må behandle kommunens data, at Dataproces ikke må bruge dataene til andre formål, og at Side 4 af 6

5 Dataproces skal overholde persondatalovens sikkerhedskrav. Herunder skal Dataproces træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. 3. Anmeldelse til Datatilsynet Idet Dataproces, som sit forretningsmæssige virke, alene foretager databehandling for andre, er Dataproces, en med Persondatalovens ord edbservicevirksomhed. Inden sådanne virksomheder, påbegynder behandlingen af persondata for tredjemand, skal virksomheden anmeldes til Datatilsynet. BvHD er naturligvis gerne behjælpelige med at foretage sådan anmeldelse til Datatilsynet. I forbindelse med indeværende sag, vil anmeldelsen have den fordel at Dataproces, efter anmeldelsen kan henvise til Datatilsynets oversigt over anmeldte virksomheder. 4. Opsummering Som anført ovenfor vil kommuner, kunne overlade persondata til behandling ved Dataproces under tre betingelser. 1. At kommunen selv har hjemmel til at foretage den pågældende behandling, 2. At kommunen er dataansvarlig i forhold til de pågældende data, hvilket vurderes at være tilfældet i forhold til de fleste af de nævnte datasæt, eller at kommunen har tilladelse fra den dataansvarlige til at anvende databehandlere, som fx i forhold til CPR, 3. At der udarbejdes en skriftlig databehandlerinstruks. I forhold til direkte online-adgang til kommunens data, skal det vurderes i forhold til den enkelte kommunale databehandler, om Dataproces kan tildeles sådan adgang. Det bemærkes, at Dataproces inden databehandlingen påbegyndes, skal anmeldes som edb-servicevirksomhed hos Datatilsynet. Det skal afslutningsvis anbefales, at der udarbejdes skriftlig aftale om de opgaver, som Dataproces indgår med kommunerne. Side 5 af 6

6 Hvis Dataproces har spørgsmål eller ønsker en uddybning af et eller flere punkter i notatet, står vi naturligvis fortsat til rådighed. Skanderborg, den 21. november 2011 Bender von Haller Dragsted Nis Peter Dall Advokat Side 6 af 6