Vedrørende tilsyn med behandling af personoplysninger

Transkript

1 Att.: Kommunaldirektøren Sendt med Digital Post Dato Datatilsynet Borgergade 28, København K CVR-nr Telefon Fax [email protected] J.nr Sagsbehandler Morten Tønning Direkte Vedrørende tilsyn med behandling af personoplysninger Datatilsynet fører tilsyn med enhver behandling af oplysninger, der er omfattet af persondataloven 1. Som led i denne tilsynsvirksomhed kan Datatilsynet kræve enhver oplysning, der er af betydning for tilsynets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser. Datatilsynet kan endvidere foretage tilsynsbesøg. De nærmere regler findes i persondatalovens 62. Datatilsynets tilsyn med offentlige myndigheder fokuserer i 2016 navnlig på: Uddybende sikkerhedsregler, myndighedens eget tilsyn, databehandleraftaler, og myndighedens kontrol med databehandlere. Under tilsynene vil der blive anvendt oplysningsindsamling ved hjælp af spørgeskema. Overfor en række myndigheder vil Datatilsynet endvidere følge op med egentlige tilsynsbesøg, hvor yderligere emner vil blive taget op. [Dataansvarlige] er blandt de myndigheder, som tilsynet har udvalgt til tilsyn i 2016, herunder med et egentligt tilsynsbesøg som opfølgning. [Dataansvarlige] skal i første række udfylde og indsende Datatilsynets oplysningsskemaer, som vedlægges. [Dataansvarlige] bedes endvidere indsende kopi af de uddybende sikkerhedsregler, som myndigheden har fastsat i medfør af sikkerhedsbekendtgørelsens 2 5. Tilsynet skal henstille, at både forvaltning og IT-afdeling bidrager til besvarelsen, således at svarene bliver så fyldestgørende som muligt. Når Datatilsynet har modtaget dette materiale, vil tilsynet vurdere, om der ønskes yderligere materiale og i givet fald hvilket. Tilsynet vil bl.a. anmode 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer 2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

2 2 om at få indsendt en del af de databehandleraftaler, som kommunen har indgået. [Dataansvarlig] bedes snarest muligt og senest fredag den 8. april 2016 bekræfte modtagelsen af dette brev. Bekræftelsen kan ske til Maj Leilund på direkte telefonnummer eller Datatilsynet skal anmode om at have det besvarede oplysningsskema og kopi af [dataansvarliges] uddybende sikkerhedsregler i hænde senest mandag den 2. maj Materialet bedes sendt elektronisk til [email protected]. Datatilsynet vil herefter foretage opfølgende tilsynsbesøg hos [dataansvarlig] den [23./24.] maj 2016 klokken xx.xx. Besøget forventes at vare cirka 3 timer. Under tilsynsbesøget ønsker Datatilsynet en generel orientering om [dataansvarligs] behandling af personoplysninger. Herunder forventes følgende emner berørt: Iagttagelse af krav om datasikkerhed med afsæt i kommunens besvarelse af oplysningsskemaet. Kommunens offentliggørelse af personoplysninger på internettet, herunder kommunens hjemmeside. Kommunen bedes på mødet orientere om sin praksis vedrørende: o Instruktion af medarbejdere. o Brug af it-udstyr med personoplysninger uden for den dataansvarliges lokaliteter, f.eks. ved hjemmearbejdspladser ol. Under tilsynsbesøget ønsker Datatilsynet endvidere mulighed for at besigtige områder, hvor der sker behandling af personoplysninger, samt mulighed for at tale med medarbejderne. Det er Datatilsynets erfaring, at en konstruktiv dialog omkring overholdelse af persondataloven bedst sikres, når både forvaltning og IT-afdeling er repræsenteret under tilsynsbesøget. Datatilsynet vil være repræsenteret ved [titler og sagsbehandlere]. Datatilsynet skal anmode om, at [dataansvarliges] senest i forbindelse med fremsendelsen af oplysningsskemaerne bekræfter tidspunktet for tilsynsbesøget.

3 3 Hvis ovenstående giver anledning til spørgsmål, kan fuldmægtig [sagsbehandler] kontaktes telefonisk herom. Med venlig hilsen Lena Andersen Kontorchef, leder af tilsynsenheden Maiken Christensen Chefkonsulent Bilag: Oplysningsskema for kommuner (2016) Oplysningsskema om databehandler i kommuner (2016)

4 Oplysningsskema for kommuner (2016) Dette skema anvendes som led i Datatilsynets tilsyn i 2016, som fokuserer på myndighedernes uddybende sikkerhedsregler, kommunens eget tilsyn, databehandleraftaler og kontrol med databehandlere. Et komplet sæt af kommunens uddybende sikkerhedsregler bedes vedlagt svaret. Der bedes tillige udfyldt et eksemplar af Oplysningsskema om databehandler i kommune (2016) for hver enkelt databehandler, herunder underdatabehandler, der benyttes til behandling af personoplysninger på kommunens vegne på følgende fem områder: 1. Beskæftigelsesområdet, 2. Pas og kørekort, 3. Børnepasning, 4. Sundhedspleje og 5. Ældrepleje. 1. Oplysninger om myndighed og kontaktperson Kommunens navn og adresse CVR-nummer på kommunen Skemaet udfyldt dato Kontaktperson (Navn, telefonnummer og adresse) 2. Kommunens uddybende sikkerhedsregler Bliver de uddybende sikkerhedsregler gennemgået mindst en gang årligt, jf. sikkerhedsbekendtgørelsens 5, stk. 2? Hvornår er der sidst foretaget gennemgang af kommunens interne sikkerhedsbestemmelser, og hvornår skete næstsidste gennemgang? Sidste gennemgang: Næstsidste gennemgang: 3. Kommunens eget tilsyn med behandlingerne hos kommunen Har kommunen fastsat retningslinjer for kommunens eget tilsyn med overholdelsen af de sikkerhedskrav, Henvisning til det relevante afsnit i de uddybende sikkerhedsregler: der gælder for kommunen, jf. sikkerhedsbekendtgørelsens 5, stk. 1? Forklaring:

5 Oplysningsskema kommuner 2016 Version: 1.0 FEB 2016 Er der ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens 19 i kommunens ESDH-system, og i givet fald hvordan? Beskriv hvordan: (Her tilsigtes en besvarelse af, hvordan der føres tilsyn med, om kravene i sikkerhedsbekendtgørelsens 19 overholdes og ikke en beskrivelse af, hvordan kravene i bestemmelsen efterleves) Er der ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede (jf. 17, stk. 1, i sikkerhedsbekendtgørelsen)? Beskriv hvordan: (Her tilsigtes en besvarelse af, hvordan der føres tilsyn med, om kravene i sikkerhedsbekendtgørelsens 17 overholdes og ikke en beskrivelse af, hvordan kravene i bestemmelsen efterleves) 4. Brug af databehandlere Hvor mange databehandlere benytter kommunen på hvert af følgende fem områder? Der sigtes her til enhver fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ, der behandler og/eller har adgang til personoplysninger på kommunens vegne, herunder også såkaldte underdatabehandlere. 1. Beskæftigelsesområdet Antal: 2. Pas og kørekort Antal: 3. Børnepasning Antal: 4. Sundhedspleje Antal: 5. Ældrepleje Antal: Samlet antal databehandlere på I alt: de fem udvalgte områder (Det samlede antal kan være mindre end summen af det ovenstående, hvis databehandlere går igen) Der bedes for hver enkelt databehandler på ovennævnte seks områder udfyldt et eksemplar af Oplysningsskema om databehandler i kommune (2016). 2

6 Oplysningsskema om databehandler i kommune (2016) Dette skema anvendes som led i Datatilsynets tilsyn i 2016, som fokuserer på myndighedernes uddybende sikkerhedsregler, myndighedens eget tilsyn, databehandleraftaler og kontrol med databehandlere. Der bedes udfyldt et skema for hver enkelt databehandler, herunder underdatabehandler, der benyttes til behandling af personoplysninger på kommunens vegne på disse fem områder: 1. Beskæftigelsesområdet, 2. Pas og kørekort, 3. Børnepasning, 4. Sundhedspleje og 5. Ældrepleje. Med databehandler menes den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler og/eller har adgang til personoplysninger på myndighedens vegne, herunder også såkaldte underdatabehandlere. 1. Den dataansvarlige kommunes navn 2. Kontaktperson i kommunen (Navn, telefonnummer og adresse) 3. Databehandlerens navn og adresse 4. CVR-nummer på databehandleren, hvis det er en virksomhed eller myndighed i Danmark 5. Hvilket år begyndte kommunen at benytte denne databehandler? 6. På hvilke(t) område(r) benyttes denne databehandler? (Sæt kryds) Beskæftigelsesområdet: Pas og kørekort: 7. Benyttes der underdatabehandler(e) i forhold til denne databehandler? (Sæt kryds og anfør evt. antal og navne) Børnepasning: Sundhedspleje: Ældrepleje: (Hvis ja, så udfyld venligst et skema for hver underdatabehandler) Antal: Navne på underdatabehandlere: 8. Er der indgået skriftlig databehandleraftale mellem kommunen og databehandleren? (persondatalovens 42, stk. 2). Dato for indgåelse: 1

7 Oplysningsskema om databehandler i kommune 2016 Version: 1.0 FEB Har kommunen påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen? (persondatalovens 42, stk. 1). Dato: 10. Ved ja til spørgsmål 9, beskriv hvordan kommunen har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen, og anfør dato for hvornår det skete sidst. For eksempel: Kommunen udfører selv kontrol, samt dato for seneste kontrol. Kommunen indhenter årligt revisionserklæring, samt dato for seneste erklæring. 11. Ved nej til spørgsmål 9, beskriv i hvilket omfang kommunen agter at påse, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen. 2