Datatilsynets rapport om logning i henhold til sikkerhedsbekendtgørelsen hos Frederiksberg Kommune.



Relaterede dokumenter
hos statslige myndigheder

It-sikkerhedstekst ST8

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Databehandlerinstruks

Retningsgivende databehandlervejledning:

WORKSHOP BSS. Databeskyttelse AARHUS OLE BOULUND KNUDSEN UNIVERSITET 18. DECEMBER 2017 INFORMATIONSSIKKERHEDSCHEF

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Digitale værktøjer til hverdagsrehabilitering Prototype

Notat til Statsrevisorerne om beretning om statens behandling af fortrolige oplysninger om personer og virksomheder. Februar 2015

Emne Sidst opdateret /version 1. 1/Steen Eske Christensen

Datatilsynets inspektionsrapport

Dokumentation af sikkerhed i forbindelse med databehandling

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Guide til at udfylde klageskema. når du som patient vil klage over sundhedsfaglig behandling

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

IDAP manual Analog modul

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

It-sikkerhedstekst ST5

FORSKERSERVICE Sikkerhed på Forskermaskinen

Guide til opdatering af Navision Stat med ny funktionalitet - nye objekter, datakonvertering, automatisk indlæsning af datafiler.

Om denne hjemmeside. Om denne hjemmeside og persondatapolitik. Denne hjemmeside er ejet af: Pfizer ApS.

Styrelsen for Arbejdsmarked og Rekruttering Brugervejledning Frivilligt Ulønnet Arbejde (FUA) Opretter: 30. juni 2015 Version: 1.0

_2_mulighederAfgive vælgererklæring eller tilbagetrække støtte?

Styrelsen for Arbejdsmarked og Rekruttering Brugervejledning SharePoint abonnementer. Version: 1.3 Seneste opdatering: 9.

DanID A/S Lautrupbjerg 10 Postboks Ballerup

3.0 Velkommen til manualen for kanalen Shift Introduktion til kanalen Hvad er et spot? Opret et nyt spot 2

Redegørelse om tilsyn på hjemmehjælpsområdet, den kommunale hjemmepleje.

Netprøver.dk. Brugervejledning til Brugeradministratorer

Inspektion af datasikkerhed hos borgerservice i Allerød Kommune den 20. november 2014, j.nr

Kom godt i gang med. Nem Konto. Vejledning til sagsbehandlere. NemKonto hører under Økonomistyrelsen

Vejledning til fravær i Tabulex TEA

Datafangst Praksis opsætning

Vejledning om ergoterapeuters ordnede optegnelser (journalføring)

SDBF QUICKGUIDE SKOLERNES DIGITALE BLANKET FLOW - BRUGER-GUIDE -

Personlige oplysninger på rejsekort.dk Rejsekort A/S's politik om personlige oplysninger på rejsekort.dk

Guide til. e-bevillingssystemet.

Import-vejledning Fra KMD Elev til UNI Login

Kvik-guide: Sådan opretter du en bruger

Kompetencehjulet og Skolebarometeret Tillæg til: Vejledning for brugere af Version generel og nyttig viden -

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Netprøver.dk. Brugervejledning til Eksamensansvarlige

DPSD undervisning. Vejledning til rapport og plan opsætning

Din brugermanual NOKIA

Bliv klar til Persondataloven og Databeskyttelseslovens krav pr. 1. december! Online miniseminar 18. juni 2019 kl

Navision Stat 7.0. Kvikguide om tilpasning af rollecenteret. Overblik. Side 1 af 29. ØSY/STO 18. maj 2015

Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler

At LLO Horsens på hjemmesiden

Udbud.dk Brugervejledning til leverandører

Vejledning opret nyhedsbrev

HÅNDTERING AF PERSONOPLYSNINGER I AGR CONSULT

Indtastningsvejledning. Dansk Gynækologisk Cancer Database Sygeplejeskemaet

Fonden Center for Autisme CVR-nr.:

Tilladelsen gives på følgende vilkår:

Kravspecifikation. for. Indholdskanalen 2.0

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Denne vejledning beskriver integration mellem miljø- og byggesagssystemet GeoEnviron (GE) og ESDH-systemet edoc, der er udviklet af Fujitsu.

Betjeningsvejledning. for. UniRace

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

TrivselAPV 2013 Teknisk guide til arbejdsmiljøgrupperne

Masseindberetning i HR-Løn

Instrukser for brug af it

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Quickguide til IDEP.web Industriens salg af varer

Forretningsbetingelser

Guide. Administration af FDF.dk/Nyborg. 1. Udgave Ide og layout Christoffer S. Rasmussen

PSYKIATRIENS VIKARCENTER. MinTid. Quickguide. Version 7.0

BitLocker. Vejledning: Kryptering University College Lillebælt - IT-afdelingen /

Anmelder opretter selv sit login til systemet via hjemmesiden, ved at klikke på knappen Opret login.

WebGT Graveansøgning. Brugervejledning. 25. september Udgave 1.0

MANUAL TIL. Vvskatalogets alogets administrationssystem

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Websitet handler om websitet i sin helhed, dvs. hvor mange besøgende du har i alt osv.

Brugermanual. DKF s Self service på

Registerforskrifter. Den Centrale Venteliste

Datatilsynet har besluttet at undersøge sagen af egen drift.

VERSIONSBREV. LUDUS version Den 8. marts J.nr.: 4004-V CSC Scandihealth A/S, P.O. Pedersens Vej 2, DK-8200 Århus N

Bekendtgørelse om digital kommunikation i arbejdsløshedsforsikringen

Sikkerhedsregler for Kalundborg Kommune

Brugervejledning til udfyldelse og udstedelse af Europass Mobilitetsbevis i Europass Mobilitetsdatabasen

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

KMD Brugeradministration til Navision og LDV

Projektets titel. Projektets formål

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

SIA - SOGNEINDSAMLINGSADMINISTRATION VEJLEDNING TIL BRUG AF SIA. Kært barn har mange navne. Vi har døbt vores SIA SogneIndsamlingsAdministration.

Teknisk vejledning til system-til-system overførsel

Privatlivspolitik for studerende

Installationsvejledning af ØS LDV

Sammenfattende kan Datatilsynet konkludere

Borgerforslag - støtterblanket

2. Opfølgning på undersøgelse om østeuropæere med hjemløseadfærd. 1. Baggrund og formål. 2. Konklusioner og perspektiver Sagsnr.

Vejledning til Teknisk opsætning

UnderviserNet. Vejledning til. DOF Data 2010 Side 1

Projektanmeldelse. Projektets titel. Dataansvarlig / projektleder. Oplysninger opbevares her

Brugervejledning. Optagelse.dk Vejledning til forældre og elever i grundskolen

BørneIntra-træf d maj 2012

Skatteministeriet Nicolai Eigtveds Gade København K

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

Import-vejledning Fra Dansk Skoledata til UNI Login

Transkript:

Datatilsynets rapport om logning i henhold til sikkerhedsbekendtgørelsen hos Frederiksberg Kommune. 2015

Indhold Resume... 2 Inspektionen... 3 Fremgangsmåde... 3 Anvendelsessituation 1: Anvendelse af data fra FKLIS via Excel... 4 Om FKLIS... 4 Logning ved anvendelsessituation 1... 5 Datatilsynets undersøgelse af logning ved anvendelsessituation 1... 5 Anvendelser af data som afsatte spor i logs... 5 Datatilsynets bemærkninger angående logning ved anvendelsessituation 1... 6 Anvendelsessituation 2: Anvendelser af data fra KMD Care kube via SAS... 7 Om KMD Care kube og SAS... 7 Logning ved anvendelsessituation 2... 8 Datatilsynets undersøgelse af logning ved anvendelsessituation 2... 8 Anvendelser af data som afsatte spor i logs... 8 Anvendelser af data som ikke afsatte spor i logs... 9 Datatilsynets bemærkninger angående logning ved anvendelsessituation 2... 10 Anvendelsessituation 3: Anvendelse af data via Kingo... 11 Om Kingo... 11 Logning ved anvendelsessituation 3... 11 Datatilsynets undersøgelse af logning ved anvendelsessituation 3... 11 Anvendelser af data som afsatte spor i logs... 11 Anvendelser af data som ikke afsatte spor i logs... 12 Datatilsynets bemærkninger angående logning ved anvendelsessituation 3... 12 Anvendelsessituation 4: Anvendelse af data i KMD Care... 13 Om KMD Care... 13 Logning ved anvendelsessituation 4... 13 Datatilsynets undersøgelse af logning ved anvendelsessituation 4... 13 Anvendelser af data som afsatte spor i logs... 13 Sletning af logs... 14 Datatilsynets bemærkninger angående logning ved anvendelsessituation 4... 14 Anvendelsessituation 5: Anvendelser af data via Tilsyn.dk... 14 Afsluttende bemærkninger... 15 1

Resume Frederiksberg Kommune behandler omfattende mængder af følsomme personoplysninger, omhandlende personer med bopæl på Frederiksberg. Behandlingerne sker i forskellige itsystemer. Kun fire specifikke anvendelsessituationer er undersøgt ved denne inspektion. Inspektionen er udført med fokus på efterlevelsen af bestemmelserne om logning i sikkerhedsbekendtgørelsen 19 i forbindelse med statistikproduktion og analyser ved anvendelse af personoplysninger. Første anvendelsessituation angår anvendelsen af identifikationsoplysninger sammen med følsomme personoplysninger fra Frederiksberg Kommunes ledelsesinformationssystem, FKLIS, via Excel. I FKLIS anvendes blandt andet sundhedsoplysninger om kommunens borgere. Det er Datatilsynets opfattelse, at der her skal ske logning i henhold til sikkerhedsbekendtgørelsens 1 19, stk. 1. På baggrund af den fremlagte log og Frederiksberg Kommunes forklaring af loggen, fandt Datatilsynet ikke anledning til bemærkninger. Den anden anvendelsessituation angår anvendelsen af identifikationsoplysninger sammen med følsomme personoplysninger fra KMD Care kube via SAS. KMD Care kube indeholder oplysninger fra kommunens omsorgsystem, KMD Care. Oplysningerne omfatter blandt andet hjemmehjælp, hjemmesygepleje og hjælpemidler til kommunens borgere. Det er Datatilsynets opfattelse, at der her skal ske logning i henhold til sikkerhedsbekendtgørelsens 19, stk. 1. Datatilsynets inspektion viste, at visse anvendelser af følsomme personoplysninger ikke blev logget. De anvendelser, som blev logget, blev ikke logget i henhold til 19, stk. 1. Den tredje anvendelsessituation angår anvendelsen af identifikationsoplysninger sammen med følsomme personoplysninger via Kingo. Det angår oplysninger om fx børn indstillet til pædagogisk psykologisk rådgivning, med angivelse af indstillingsårsager. Det er Datatilsynets opfattelse, at der her skal ske logning i henhold til sikkerhedsbekendtgørelsens 19, stk. 1. Datatilsynets inspektion viste, at logningen ved anvendelser af følsomme personoplysninger i Kingo, ikke efterlevede kravene i sikkerhedsbekendtgørelsens 19, stk. 1. Den fjerde anvendelsessituation angår anvendelsen af identifikationsoplysninger sammen med følsomme personoplysninger fra kommunens omsorgsystem, KMD Care. Det er Datatilsynets opfattelse, at der her skal ske logning i henhold til sikkerhedsbekendtgørelsens 19, stk. 1. På baggrund af den fremlagte log og Frederiksberg Kommunes forklaring af loggen, fandt Datatilsynet ikke anledning til bemærkninger. Datatilsynet finder det samlet set kritisabelt, at Frederiksberg Kommune i to af de inspicerede anvendelsessituationer ikke har levet op til kravene i sikkerhedsbekendtgørelsens 19. 1 Bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerheds-foranstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. 2

Inspektionen Datatilsynet har gennemført en it-sikkerhedsinspektion i Frederiksberg Kommune (FBK) med fokus på efterlevelsen af bestemmelserne om logning i sikkerhedsbekendtgørelsen 19 i forbindelse med statistikproduktion og analyser ved anvendelse af personoplysninger. FBK er dataansvarlig for over 40 databehandlinger. Data fra mange af FBK s behandlinger samt data fra eksterne kilder anvendes i statistiske undersøgelser og analyser. I nogle behandlinger indgår mulighed for udtræk af standard- eller ad-hoc rapporter. FBK anvender også særlige analyseværktøjer (betegnet FKLIS og SAS Entreprise Guide, se nedenfor). Disse værktøjer anvendes til at foretage statistisk analyse på tværs af data fra flere fagsystemer. Statistikproduktion og analyser ved anvendelse af personoplysninger i FBK sker blandt andet med henblik på økonomiske afklaringer, opfølgning med opgaveløsning, effektmålinger med videre. Statistikproduktion og analyser foregår blandt andet på grundlag af følsomme personoplysninger. FBK behandler følsomme personoplysninger omhandlende personer med bopæl i Frederiksberg Kommune. Fremgangsmåde Inspektionen blev udført ved fire møder hos FBK i perioden fra den 24. september 2015 til den 17. november 2015. Undervejs har Datatilsynet endvidere fremsendt spørgsmål og udbedt sig materiale pr. e-mail. Indledningsvis indhentede Datatilsynet informationer om, hvorledes og hvor der foregår statistiske undersøgelser og analyser hos FBK. På denne baggrund udvalgte Datatilsynet følgende fem anvendelsessituationer til en nærmere undersøgelse af logning: 1. Anvendelse af data fra FKLIS via Excel 2. Anvendelse af data fra KMD Care kube via SAS 3. Anvendelser af data via KINGO 4. Anvendelse af data i KMD Care 5. Anvendelser af data via Tilsyn.dk Den nærmere undersøgelse af logning, blev udført for de første 4 anvendelsessituationer ved følgende trin: a) En FBK-medarbejder viste indledningsvist, hvordan anvendelsen af data kan foregå. b) Med henblik på den efterfølgende undersøgelse af loggens indhold, indgik Datatilsynet i dialog med medarbejderen, som så udførte specifikke anvendelser af data. c) Medarbejderens anvendelser af data samt klokkeslæt blev observeret og noteret af Datatilsynet. d) I visse tilfælde blev der tillige lavet en udskrift af de forespørgsler 2, som medarbejderen eksekverede. Medarbejderens anvendelser af data skete blandt andet gennem disse forespørgsler. e) FBK fremlagde og forklarede logs omfattende de i punkt b nævnte anvendelser af data. f) Indholdet i de fremviste logs blev sammenholdt med tilsynets egne noter (punkt c), samt eventuelt med udskrifter af brugerens forespørgsler (punkt d). 2 En forespørgsel kan være i form af fx en SQL-sætning. SQL (Structured Query Language) anvendes blandt andet til behandling af data i databaser. 3

I forhold til anvendelsessituationen vedrørende Tilsyn.dk, blev der endvidere planlagt følgende undersøgelse af log: g) Ud fra FBK s oprindelige oplysninger planlagde Datatilsynet at undersøge et logudtræk omfattende anvendelser af data udført af en FBK-medarbejder på et tidspunkt inden inspektionens start. Denne undersøgelse blev ikke udført, fordi FBK senere oplyste, at deres oprindelige oplysninger angående anvendelsen af data via Tilsyn.dk ikke var korrekte. Dette er uddybet senere i rapporten under overskriften "Anvendelsessituation 5: Anvendelser af data via Tilsyn.dk". Anvendelsessituation 1: Anvendelse af data fra FKLIS via Excel Om FKLIS FBK anvender eget ledelsesinformationssystem betegnet Frederiksberg Kommunes Ledelsesinformationssystem (FKLIS). FKLIS anvender til systemets brugere en særlig form for database (OLAP kube 3 ) indrettet med henblik på samkøring og effektiv statistisk behandling og analyse af data fra forskellige fagsystemer. Data kopieres fra forskellige fagsystemer til FKLIS, og udvalgte dele kan efterfølgende sammenstilles i denne OLAP kube. Brugeres adgang til data på FKLIS sker kun via OLAP kuben og styres af den enkelte brugers rettighedstildeling. Rettighedstildelingen indebærer altid både en afgrænsning af datatyper og en afgrænsning af organisationen. Formålet med FKLIS er at understøtte og styrke styring, effektivitet og udvikling på alle niveauer i kommunen. Data som FKLIS får overført fra andre systemer omfatter oplysninger om borgere, pladsanvisning, skoler, indberetning af sygefravær fra selvejende institutioner, økonomi oplysninger, personale- og fraværsdatahistorik, personale-, løn- og fraværsdata, omsorgsdata (ydelser, boligstyring og hjælpemidler), socialområdet, med flere. FKLIS indeholder data fra 33 registre, som kan ses i bilag 11. Ud af de 447 brugere af FKLIS, har alle adgang til standard rapporter via SharePoint. Ca. 81 analytikere og andre særligt autoriserede, kan desuden lave forespørgsler og danne nye rapporter, og anvender udtræksværktøjer herunder Microsoft Excel til dette formål. I anvendelsessituation 1 undersøges logningen af anvendelser af data fra FKLIS via Microsoft Excel. Alle identifikationsoplysninger (herunder personnummer) i FK LIS bliver suppleret med et løbenummer. Løbenumret tildeles rækker, som indeholder identifikationsoplysninger, og tildelingen sker hver nat ved rutinemæssig gendannelse af alle data i databasen (OLAP kuben). Løbenumret er i princippet kun en tæller. Der er ingen garanti for at samme løbenummer tildeles samme identifikationsoplysning ved hver natlig gendannelse af databasen. Løbenumret og personnumret er begge tilstede i identifikationsoplysningerne. Uden særlig autorisation er det kun løbenumret, som er synligt for brugerne af FKLIS. Brugere skal være særligt autoriserede for at kunne fremvise personnumret. 81 analytikere kan inkludere personnumret i deres anvendelse af data i FKLIS. Personnumret og øvrige identifikationsoplysninger vises dog kun, såfremt brugeren samtidigt er særligt autoriseret. 3 En kube er en særlig type database som er optimeret med hensyn til at ekspedere tungere forespørgsler hurtigt. 4

Identifikationsoplysninger (herunder personnummer), der indgår i anvendelsessituation 1, er ikke krypteret eller erstattet af en kode eller lignede. Logning ved anvendelsessituation 1 Anvendelsessituation 1 omfatter anvendelser udført af én de 81 brugere med tilstrækkelig autorisation til at få vist personnummeret under sin anvendelse af data fra FKLIS. Ved anvendelsessituation 1 har en analytiker i dialog med Datatilsynet, foretaget anvendelser af data vedrørende omsorgsområdet. FBK har i notat af 30. september 2015, oplyst, i FKLIS logges der i henhold til sikkerhedsbekendtgørelsens 19, stk. 1. FBK har oplyst, at alle forespørgsler til OLAP-kuben i FKLIS logges med blandt andet følgende informationer: - Brugernavn - Tidspunkt - Type af anvendelse - Den fulde forespørgselsstreng Ifølge FBK s oplysninger logges der både tidspunktet for modtagelse af forespørgselen i kube og afsendelse af resultatet. FBK har oplyst, at alle anvendelser af OLAP kuben i FKLIS er forespørgsler. Dermed er typen af anvendelse i anvendelsessituation 1 altid forespørgsel. FBK har oplyst, at loggen indeholder data for de seneste seks måneder. Data ældre end seks måneder slettes. FBK regner med, at i forbindelse med en efterforskning, vil det være muligt at gå seks måneder tilbage i tiden ved at hente data fra tidligere databasebackups og derved genskabe resultatet af en brugers dataudtræk fra FKLIS. Datatilsynets undersøgelse af logning ved anvendelsessituation 1 Analytikeren anvender Microsoft Excel som udtræksværktøj til at formulere forespørgsler mod FKLIS databasen (en OLAP kube). Dette gør analytikeren ved i flere skridt at udvælge enkelte dataområder, fx ved at tilføje/fjerne enkelte datastykker (kolonner). Ved hver ændring sørger Excel for at hente et udsnit af data, som afspejler effekten af den seneste ændring. Det vil sige, at hver tilføjelse/fjernelse af en kolonne og lignende resulterer i en forespørgsel til den bagvedliggende kube. Anvendelser af data som afsatte spor i logs I bilag 1 beskrives anvendelser af data, som blev foretaget i dialog mellem Datatilsynet og en medarbejder i FBK den 6. oktober 2015. Bilaget angiver Datatilsynets observationer af klokkeslæt, hvilken anvendelse der skete af data, samt resultatet af de udførte anvendelser. På mødet den 17. november 2015 fremlagde FBK en log fra FKLIS, hvoraf de relevante dele kan ses i bilag 5. Loggens indhold blev sammenholdt med klokkeslæt 4 og Datatilsynets observationer af brugerens anvendelser af data. 4 Klokkeslættet i den præsenterede log er registreret som UTC-tid (universel standardtid), der på dagen var 2 timer forskudt i forhold til lokal tid (dansk sommertid, dvs. UTC+2 timer). Det vil sige at en anvendelse registreret af Datatilsynet ved kl. 11.35 fremstår som indtruffet kl. 09.35 i FKLIS loggen. 5

FBK har oplyst, at loggen angiver, at brugeren var "pela01" og, at dette er brugeren Per Steen Larsens (PSL) bruger-id i denne log. Følgende beskrivelser af loggens indhold (bilag 5) er baseret på FBK's forklaringer. I. Brugeren pela01 har den 6. oktober 2015 indenfor tidsrummet kl. 11:33 til kl. 11:36, via successive søgninger, fremsøgt en samlet værdi for Visiteret Sum afgrænset til årene 2014 og 2015 for ydelser inden for Sundhed og Omsorg området. II. Brugeren pela01 har den 6. oktober 2015 kl. 11:37, indsnævret den samlede sum over visiteret tid i årene 2014 og 2015 til kun at omfatte ydelser relateret til Stomi. III. Brugeren pela01 har den 6. oktober 2015 kl. 11:37, hentet personnummer for individer, som har modtaget Stomi relaterede ydelser i årene 2014 og 2015. IV. Brugeren pela01 har den 6. oktober 2015 kl. 11:40, tilknyttet flere oplysninger ( Statsborgerskab ) om de individer, som har modtaget Stomi relaterede ydelser i årene 2014 og 2015. For hver registrering i loggen i bilag 5 har FBK beskrevet tidspunktet for brugerens anvendelser af data, samt gjort rede for, hvilke type af anvendelse der er tale om og, hvilke søgekriterier der er valgt af brugeren. De enkelte registreringer i loggen indeholder ikke informationer om, hvilke dataudtræk der er blevet set af brugeren i Excel, som resultatet af søgningen. FBK udførte de enkelte forespørgsler registreret i loggen på en kopi af en tidligere udgave af FKLIS database (fra den 6. oktober 2015). FBK demonstrerede dermed, at de kunne fremvise, hvilke individer som blev berørt af de loggede anvendelser. Datatilsynets bemærkninger angående logning ved anvendelsessituation 1 Anvendelsessituation 1 angik en brugers anvendelser af følsomme personoplysninger inklusive identifikationsoplysninger på de registrerede personer. Der er ikke tale om en behandling af personoplysninger, som udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger ("batch"-kørsler) i anvendelsessituation 1. I FKLIS suppleres data, som indeholder personnummer, med et løbenummer således, at begge oplysninger (personnumret og løbenumret) er til stede og kan fremvises. Det er kun de særligt autoriserede brugere, der kan se begge oplysninger. Herved finder Datatilsynet, at anvendelserne af data ikke kan omfattes af sikkerhedsbekendtgørelsens 19, stk. 3 eller stk. 4. Det er Datatilsynets opfattelse, at anvendelserne er omfattet af 19, stk. 1, hvorefter: Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Datatilsynet har på det foreliggende grundlag ingen bemærkninger til logningen af anvendelser af følsomme personoplysninger fra FKLIS Kuben via Excel. 6

Anvendelsessituation 2: Anvendelser af data fra KMD Care kube via SAS Om KMD Care kube og SAS KMD Care er kommunens omsorgsystem. KMD Care indeholder oplysninger om hjemmehjælp, hjemmesygepleje, hjælpemidler, med mere. KMD Care kube er en OLAP kube med en delmængde af data fra KMD Care. KMD Care kube er særlig anvendelig til effektiv statistisk analyse af data. Anvendelsen af data fra KMD Care kube i 'Socialafdelingens stab for budget og analyse' sker via SAS Entreprise Guide og sker udelukkende med henblik på statistiske undersøgelser og analyser. SAS Entreprise Guide (herefter benævnt SAS) er et statistik- og analyseværktøj, hvori man kan foretage statistiske opgaver af både simpel og kompleks art. Langt hovedparten af data anvendt i SAS, hentes via SAS 5 fra KMD Care kube, og netop data hentet fra KMD Care kube via SAS er omfattet af anvendelsessituation 2. Data hentet fra KMD Care kube via SAS, kan efterfølgende anvendes i SAS. Anvendelserne inkluderer oplysninger på personniveau om f.eks. antal minutters hjemmesygepleje og typen af hjælpemiddel. Når en analytiker skal lave en analyse, etablerer analytikeren adgang til KMD Care kuben via SAS. Via SAS ser og udvælger analytikeren data i KMD Care kuben for at arbejde sig frem til et ønsket datasæt. Når analytikeren har dannet det ønskede datasæt, udtrækkes datasættet fra KMD Care kuben til SAS, hvor analyserne foretages. I denne forbindelse bliver datasættet lagret på et fælles netværksdrev (kaldet S: drev se nærmere beskrivelse nedenfor) i form af datafiler i SAS-format. Det er også muligt at arbejde videre med datasættet i SAS, uden at datasættet først er gemt på det fælles netværksdrev. I disse tilfælde vil datasættet ligge i et midlertidigt bibliotek, hvor SAS automatisk sletter alt indhold, når SAS lukkes ned. Seks medarbejdere (analytikere og studentermedhjælpere) har adgang til at læse og ændre de datasæt, som lagres på det fælles netværksdrev. Datasæt kan blive liggende på det fælles netværksdrev (under stien S:\Fælles\SOUDW\Data\) i hele analyseprojektets levetid. FBK har oplyst, at visse analyseprojekter (fx effektmålingsanalyser) kan vare i op til et år, hvorfor data udtrukket fra KMD Care kube kan blive liggende på det fælles netværksdrev i op til et år. Adspurgt ved mødet den 3. november 2015 oplyste FBK, at de ældste to projekter på netværksdrevet indeholdt data udtrukket fra KMD Care kube i april og juli 2015. De seks medarbejdere, som har adgang til netværksdrevet, har også læseadgang til KMD Care kube. FBK har oplyst at følgende følsomme personoplysninger fra KMD Care anvendes via SAS: Boligform Boligtype Plejetyngde, fordi det kan indikere det omfang, borgeren er afhængig af hjælp eller plejekrævende. 5 FBK har oplyst at der til dette formål benyttes et særligt interface i SAS. 7

Henvisningsårsag, fordi det kan angive, at en borger er fx dement eller gangbesværet. Ydelser, fordi det kan angive om en borger f.eks. får hjælp til bad eller psykiatrisk hjælp. Hjælpemidler som f.eks. kørestol. I brev af den 21. oktober 2015 har FBK oplyst, at følgende identifikationsoplysninger behandles via SAS: Cpr Fornavn Efternavn Logning ved anvendelsessituation 2 FBK har i brev af 27. august 2015 oplyst, at logning af anvendelser af data fra KMD Care (omsorgssystemet) sker i henhold til sikkerhedsbekendtgørelsens 19, stk. 1. Adspurgt ved inspektionsmøde oplyste FBK, at der anvendes SAS i forbindelse med statistisk behandling af data primært fra KMD Care. I brev af den 6. oktober 2015 gav kommunen nye oplysninger om, at anvendelse af data fra KMD Care via SAS logges efter sikkerhedsbekendtgørelsens 19, stk. 4. Senere i inspektionsforløbet oplyste FBK, at der ikke sker logning, når der vises eller udtrækkes data via SAS fra KMD Care kube. FBK oplyste, at logning sker alene, når der arbejdes med data i selve SAS. Datatilsynets undersøgelse af logning ved anvendelsessituation 2 Ved mødet den 3. november 2015 foretog en analytiker i dialog med Datatilsynet nogle anvendelser af data fra KMD Care kube via SAS, hvor Datatilsynet har registreret klokkeslæt og anvendelsestype for de enkelte anvendelser. Datatilsynets registreringer omfatter også det resulterende dataudtræk for hver enkelt anvendelse (bilag 3). De scripts 6, som analytikeren lavede og eksekverede den 3. november 2015 i SAS, fremgår af bilag 9. Anvendelser af data som afsatte spor i logs Den 3. november 2015 foretog en analytiker følgende anvendelser af data, jfr. bilag 3: Kl. 12.55 gemmer analytikeren resultatet fra den seneste forespørgsel på KMD Care kuben via SAS (kaldet datasæt X) i en fil, jf. script a i bilag 9. Datasæt X indeholder 14645 observationer med oplysninger om borgere (angivet med personnummer, fornavn, efternavn og køn), som har modtaget ydelser (angivet med ydelser hovedgruppe og ydelser undergrupper) i perioden januar 2015 og borgeres boligforhold (boligform, boligtype). Kl. 13.09 gemmer analytikeren resultatet fra den seneste forespørgsel på KMD Care kuben via SAS (kaldet datasæt Y) i en anden fil, jf. script b i bilag 9. Datasæt Y indeholder 377 observationer med oplysninger om borgere (angivet med personnummer), som er blevet henvist (Årsag, antal henvisninger og år) til sociale ydelser i perioden april 2015. Kl. 13.12 samkører analytikeren i SAS de to gemte datasæt fra tidligere (datasæt X og datasæt Y) med cpr som fælles nøgle og gemmer resultatet i en fil, jf. script c i bilag 9. Den nye datasæt indeholder 14848 observationer med oplysninger om 6 Scripts i dette tilfælde består af de SAS SQL programmer som brugeren kører for at behandle data. 8

borgere (angivet med personnummer, fornavn, efternavn og køn) som er blevet henvist (Årsag, antal henvisninger og år) til sociale ydelser i april 2015 og som har modtaget ydelser (angivet med ydelser hovedgruppe og ydelser undergrupper) i januar 2015 og borgeres boligforhold (boligform, boligtype). Kl. 13.25 foretager analytikeren en indsnævring ved at udvælge et enkelt personnummer blandt observationerne fra foregående datasæt, og gemmer resultatet, jf. script e i bilag 9. Resultatet er 15 observationer om et enkelt individ (angivet med personnummer, fornavn, efternavn og køn) og dennes henvisninger (i april 2015) og modtagne ydelser (i januar 2015) samt dennes boligforhold (boligform, boligtype). På mødet den 17. november 2015 fremlagde FBK en log for nogle af de observerede anvendelser af data fra KMD Care kube via SAS foretaget den 3. november 2015. På grund af loggens størrelse er kun de relevante udsnit af loggen gengivet i bilag 7. Loggen er personlig, idet den altid er tilknyttet én SAS-bruger ad gangen. FBK har oplyst at brugeren Rune Hagel Andersen (RHA) er identificeret i denne log med ruan02@fbkkom. Loggens indhold blev sammenholdt med Datatilsynets observationer af brugerens anvendelser af data. Følgende beskrivelser af loggens indhold er baseret på FBK s forklaringer den 17. november 2015: Loggen angiver, at brugeren RHA har gemt et dataudtræk (datasæt X) indeholdende 14645 observationer i en fil kaldet data1. Loggen angiver, at brugeren RHA har gemt et dataudtræk (datasæt Y) indeholdende 377 observationer i en fil kaldet data2. Loggen angiver, at brugeren RHA har samkørt de to gemte filer data1 og data2 med cpr som fælles nøgle. Resultatet omfatter 14848 observationer og blev gemt i en ny fil kaldet samlet. Loggen angiver, at brugeren RHA har indsnævret datasættet i filen samlet2 ved at søge efter et bestemt personnummer. Resultatet indeholder 15 observationer og blev gemt i en fil kaldet samlet3. Disse spor i loggen svarer til nogle anvendelser Datatilsynet har observeret. Af loggen fremgår tidspunktet, typen af anvendelsen og hvem der har udført anvendelsen. Logningen af disse anvendelser omfatter ikke oplysninger om: søgekriteriet eller de individer, som bliver berørt af disse anvendelser at udtræk af datasæt X omfatter modtagne ydelser alene for januar 2015 at udtræk af datasæt Y omfatter henvisninger alene for april 2015 hvilke individer der er omfattet af datasæt X hvilke individer der er omfattet af datasæt Y. Adspurgt på mødet den 17. november 2015 har FBK bekræftet, at ud fra den fremviste logs indhold var det ikke muligt at udlede de individer, som blev berørt af analytikerens anvendelser af data fra KMD Care kube via SAS. Anvendelser af data som ikke afsatte spor i logs Adspurgt på mødet den 17. november 2015 bekræftede FBK, at der ikke findes registreringer af RHA s anvendelser af data fra KMD Care kuben via SAS for blandt andet følgende anvendelser: 9

Brugeren RHA etablerede forbindelse til KMD Care kube via SAS kl. 12:34. Kl. 12:39 fik brugeren RHA vist en liste med 3381 observationer om planlagte hjemmehjælpsydelser til borgere (personnummer) i januar 2015. Frem til kl. 12.46 tilføjede brugeren flere oplysninger til visningen. Den endelige visning indeholdt 3381 observationer om borgere (personnummer, fornavn, efternavn, køn) og borgeres boligforhold (boligform, boligtype) og om hvor vidt de har modtaget ydelser (Ydelser hovedgruppe og Ydelses undergruppe) i januar 2015. Kl. 12:59 fik RHA vist en liste fra KMD Care kube med 409 observationer vedrørende årsager til henvisninger ( Antal henvisninger, Årsag og År ) med forekomster i april 2015. Frem til kl. 13:06 tilføjede brugeren RHA successivt flere oplysninger til foregående visning. Til slut indeholdt resultatet personnummer, henvisninger (henvisningsårsag og antal henvisninger) afgrænset til april 2015. Det endelige resultat indeholdt 377 observationer om borgere angivet ved personnummer. Blandt forekomsterne af årsager i datasættet var Sårbehandling, Inkontinens, Medicindisponering. Ingen af disse anvendelser havde afsat spor i nogen af de fremlagte logs. Datatilsynets bemærkninger angående logning ved anvendelsessituation 2 Anvendelsessituation 2 angik en brugers anvendelser af følsomme personoplysninger. Der er ikke tale om en behandling af personoplysninger, som udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger ("batch"-kørsler). FBK har oplyst, at anvendelse af personoplysningerne fra KMD Care kube via SAS udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser. FBK har oplyst at identifikationsoplysninger indgår i databehandlingen, uden at de forinden er erstattet med en kode eller krypteret på anden vis. Datatilsynet finder på denne baggrund, at anvendelserne af data ikke er omfattet af undtagelserne i sikkerhedsbekendtgørelsens 19, stk. 3 eller stk. 4. Det er Datatilsynets opfattelse, at anvendelserne er omfattet af sikkerhedsbekendtgørelsens 19, stk. 1, hvorefter: Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Datatilsynets undersøgelse har vist, at når brugeren via SAS foretog et udtræk af følsomme personoplysninger direkte fra KMD Care kube, blev der ikke logget tidspunkt, bruger, type af anvendelse, angivelse af de personer, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Datatilsynets undersøgelse har vist, at der var flere anvendelser af følsomme personoplysninger, som blev logget, men hverken søgekriteriet eller de individer, som blev berørt af disse anvendelser, fremgik af loggen. Når brugeren via SAS fremsøger data, fx omhandlende borgeres modtagne ydelser (datasæt X), kan brugeren vælge at gemme resultatet. Vælger brugeren at gemme resultatet, angiver loggen ikke hvilke informationer der blev gemt. Loggen angav tidspunkt, typen af anvendelse og den bruger, som foretog anvendelsen. Loggen angav ikke, hvilke individer de anvendte data vedrørte. FBK har bekræftet, at ud fra loggens indhold var det ikke muligt at udlede de individer, som var berørt af anvendelser af data fra KMD Care kube via SAS. Det fremgik endvidere ikke af loggen, at de gemte informationer omhandlede en specifik periode (her januar 2015). 10

Datatilsynet finder på det foreliggende grundlag, at logningen ved anvendelser af følsomme personoplysninger fra KMD Care kube via SAS, ikke efterlever kravene i sikkerhedsbekendtgørelsens 19, stk. 1. Anvendelsessituation 3: Anvendelse af data via Kingo Om Kingo Kingo er et sagsunderstøttende system til PPR sager. PPR-sager omhandler Pædagogisk Psykologisk Rådgivning af forældre, lærer og pædagoger vedrørende børn og unge mellem 0-17 år. FBK har oplyst, at anvendelser af data i Kingo er omfattet af anmeldelsen: 2008-55-1706 "Undervisning og vejledning". Kingo driftes af FBK s it-afdeling 7. I Kingo kan medarbejdere fx udtrække en oversigt over børn, som er indstillet til pædagogisk psykologisk rådgivning, med angivelse af indstillingsårsager. Identifikationsoplysninger (fx personnumre og navne), der indgår i anvendelsessituation 3, er ikke krypteret eller erstattet af en kode eller lignede. Logning ved anvendelsessituation 3 FBK har ved e-mail af 6. oktober 2015 oplyst, at der logges efter sikkerhedsbekendtgørelsens 19, stk. 1. Datatilsynets undersøgelse af logning ved anvendelsessituation 3 Anvendelser af data som afsatte spor i logs I bilag 2 beskrives anvendelser af data, som blev foretaget af en medarbejder i FBK. Anvendelserne skete i dialog med Datatilsynet den 6. oktober 2015. Bilaget angiver Datatilsynets observationer af klokkeslæt, anvendelser der skete af data, samt resultatet af de udførte anvendelser. Brugeren foretog blandt andet følgende: Brugeren foretog login på Kingo kl. 13:10 Brugeren foretog log-ud fra Kingo kl. 13:20 På mødet den 17. november 2015 fremlagde FBK en log, som fremgår af bilag 6. Loggens indhold blev sammenholdt med Datatilsynets observationer af brugerens anvendelser af data (bilag 2). Følgende beskrivelser af loggens indhold er baseret på FBK's forklaringer af det, som fremgår af bilag 6. Af loggen fremgår de tidspunkter, hvor en bruger har foretaget login på Kingo samt log-ud fra Kingo. Loggen angiver dato og klokkeslæt for login og log-ud. Loggen angiver, at brugeren var "malo01", hvilket er brugeren Marie Lønstrups bruger-id i denne log. 7 FBK har oplyst, at Kingo er udviklet og ejet af Dansk Mikrosoftware, men FBKs data ligger på en server hos FBK. 11

Anvendelser af data som ikke afsatte spor i logs Under login på Kingo foretog brugeren følgende: Brugeren definerede en søgning efter data ved først at vælge, at få vist aktive sager for 0- til 6-årige. Brugeren valgte desuden, hvilke informationer brugeren ønskede at få vist. Det skete ved at tilvælge CPR, Fornavn, Typenavn og Diagnose. Brugeren valgte endvidere en afgrænsning i fremsøgningen af aktive sager, ved at angive, at søgeresultatet kun skulle dække perioden august 2014 til juli 2015. Brugeren udførte derefter søgningen. Der blev vist et resultat for brugeren. På skærmen vises umiddelbart den første af 12 siders data omfattende 443 rækker med informationer om 427 borgere. Listen angiver borgerens alder, personnummer, fornavn, typenavn og diagnose på vurderingerne. Diagnoserne vises som forkortelser, og blandt de viste diagnoser er: spiseforstyrrelser, gennemgribende udviklingsforstyrrelse, DOWNS, mental retardering, sproglige vanskeligheder. Resultatet (datasættet med de 443 rækker) blev gemt lokalt på brugerens pc. Det gemte datasæt på 443 rækker blev slettet fra brugerens pc. Intet af dette afsatte noget spor i nogen log. Den eneste information i loggen ud over bruger-id og tidspunkt for login/log-ud, er en angivelse af "TfrmRapportGenerator: Dialog åbnet". FBK forklarede, at dette betød, at et modul var blevet åbnet af brugeren, men at dette ikke fortæller noget om anvendelser af data. Datatilsynets bemærkninger angående logning ved anvendelsessituation 3 Anvendelsessituation 3 angik en brugers anvendelser af følsomme personoplysninger. Der er ikke tale om en behandling af personoplysninger, som udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger ("batch"-kørsler). Identifikationsoplysningerne er ikke forinden blevet krypteret eller erstattet med et kodenummer eller lignende. Herved finder Datatilsynet, at anvendelserne af data ikke omfattes af undtagelserne i sikkerhedsbekendtgørelsens 19, stk. 3 eller stk. 4. Det er Datatilsynets opfattelse, at anvendelserne er omfattet af 19, stk. 1, hvorefter: Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Datatilsynets undersøgelse har vist, at ved de anvendelser af følsomme personoplysninger, som brugeren udførte via Kingo, logges hverken type af anvendelse, angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Datatilsynet finder på det foreliggende grundlag, at logningen ved anvendelser af følsomme personoplysninger i Kingo, ikke efterlevede kravene i sikkerhedsbekendtgørelsens 19, stk. 1. 12

Anvendelsessituation 4: Anvendelse af data i KMD Care Om KMD Care KMD Care kuberne indeholder ikke alle data, som findes i KMD Care. Det er muligt for visse medarbejdere, at lave statistikker og analyser på data, som befinder sig i fagsystemet KMD Care. For at få adgang til de data, som ikke findes i KMD Care kuberne, kan medarbejderen logge på KMD Care, og herefter fremsøge forskellige oplysninger i KMD Care, og sammensætte det ønskede datasæt. Anvendelsessituation 4 angår anvendelser af data, som befinder sig i fagsystemet KMD Care. Identifikationsoplysninger, som indgår i anvendelsessituation 4 (personnummer) er ikke krypteret eller erstattet med kode eller lignende. Logning ved anvendelsessituation 4 FBK har ved e-mail af 6. oktober 2015 oplyst, at der i KMD Care logges efter sikkerhedsbekendtgørelsens 19, stk. 1. Datatilsynets undersøgelse af logning ved anvendelsessituation 4 I bilag 4 beskrives anvendelser af data, som blev foretaget af en medarbejder i FBK. Anvendelserne skete i dialog med Datatilsynet den 3. november 2015. Bilaget angiver Datatilsynets observationer af klokkeslæt, anvendelser der skete af data, samt resultatet af de udførte anvendelser. Anvendelser af data som afsatte spor i logs Brugeren foretog sig blandt andet følgende: Brugeren foretog login på KMD Care. Der blev lavet en søgning efter udlån af hjælpemidler for perioden 1. august 2013 til 15. august 2013. Resultatet var, at brugeren fik vist en tabel med 16155 rækker med angivelse af personnummer og "antal dage". FBK har oplyst, at "Antal dage" angiver det antal dage, et specifikt hjælpemiddel har været udlånt til borgeren. Brugeren tilføjede oplysning om hjælpemiddel-id (ISO-nummer 8 ) til de 16155 rækker. Resultatet var, at brugeren fik vist en tabel med 16155 rækker med angivelse af personnummer, "Antal dage" og ISO-nummeret på hjælpemidlet. Der var én række pr ISO-nummer. De 16155 rækker dækker ikke 16155 borgere, fordi der typisk er listet 3-8 hjælpemidler pr borger. I søgeresultatet med de 16155 rækker, udvalgte brugeren en tilfældig borgers personnummer. Det specifikke ISO-nummer, som var listet ud for det udvalgte personnummer, blev slået op på en offentlig hjemmeside. ISO-numret refererede til "Tryksårsforebyggende luftpuder (statiske)". Frederiksberg Kommune har oplyst, at ISO-numrene viser, hvilket hjælpemiddel der er tale om. Ifølge FBK kan ISO-numret referere til ethvert hjælpemiddel, som er tilgængeligt fra hjælpemiddelcentret, fx kørestole og stomi-hjælpemidler. 8 ISO-nummeret er et nummer, som entydigt angiver, hvilken type hjælpemiddel der er tale om. 13

Følgende beskrivelser af loggens indhold er baseret på FBK s forklaringer af det, som fremgår af bilag 8. Af loggen fremgår tidspunktet (dato og klokkeslæt), for hvornår brugeren har foretaget login på KMD Care. Loggen angiver, at bruger-id en var "RUAN02", hvilket er brugeren Rune Hagel Andersens bruger-id i denne log. Ifølge FBK angiver loggen, at der er sket en fremsøgning af oplysninger om hjælpemidler for perioden 1. august 2013 til 15. august 2013. Typen af anvendelse er i loggen angivet til at være "Forespørgsel". FBK forklarede på denne baggrund, at typen af anvendelse samt søgekriteriet kan læses ud fra indholdet i loggen. Kommunen oplyste endvidere, at detaljeringsgraden for informationerne i loggen, afhænger af typen af dataanvendelse, samt hvilken type bruger, der foretager anvendelsen. Sletning af logs FBK oplyste, at loggen opbevares i 6 måneder, før den slettes. Datatilsynets bemærkninger angående logning ved anvendelsessituation 4 Anvendelsessituation 4 angik en brugers anvendelser af følsomme personoplysninger inklusive identifikationsoplysninger på de registrerede personer. Der er ikke tale om en behandling af personoplysninger, som udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger ("batch"-kørsler). Identifikationsoplysningerne er ikke forinden blevet krypteret eller erstattet med et kodenummer eller lignende. Herved finder Datatilsynet, at anvendelserne af data ikke omfattes af undtagelserne i sikkerhedsbekendtgørelsens 19, stk. 3 eller stk. 4. Det er Datatilsynets opfattelse, at anvendelserne er omfattet af 19, stk. 1, hvorefter: Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. På baggrund af Datatilsynets observationer og FBK forklaringer af loggen har Datatilsynet på foreliggende grundlag ingen bemærkninger til logningen i anvendelsessituation 4. Anvendelsessituation 5: Anvendelser af data via Tilsyn.dk I et brev af den 27. august 2015 har FBK oplyst, at kommunen er tilsynskommune i Hovedstadsregionen i forbindelse med sager vedrørende sociale tilbud og plejefamilier. Tilsyn.dk er fagsystemet til at genere tilsynsrapporter om sociale tilbud og plejefamilier i Hovedstadsregionen. Fagsystemet indeholder stamdata på tilbuddene og plejefamilierne. FBK har i brev af den 27. august 2015 oplyst, at kommunens anvendelse af data i Tilsyn.dk logges efter 19, stk. 1. På denne baggrund bad Datatilsynet FBK om at foretage et logudtræk, der viser de første fem anvendelser af personoplysninger i fagsystemet Tilsyn.dk som er udført efter den 25. maj 2015 kl. 9:30. FBK er blevet bedt om at fremlægge det udbedte logudtræk og beskrive 14

indholdet af loggen for Datatilsynet. På mødet den 17. november 2015 oplyste FBK at kommunens behandling af data i Tilsyn.dk ikke omfatter følsomme personoplysninger. På samme møde oplyste FBK at de tidligere oplysninger om at logning i Tilsyn.dk skete efter sikkerhedsbekendtgørelsens 19, stk. 1 ikke var korrekte. På baggrund af de nye oplysninger, besluttede Datatilsynet at ikke gå videre med undersøgelsen af loggen i forbindelse med anvendelsessituation 5. Afsluttende bemærkninger Datatilsynet har noteret sig FBK's oplysning om, at der er nye løsninger under implementering for så vidt angår SAS, og at KINGO er opdateret med yderligere logning. Tilsynet kan tage dette op til nærmere undersøgelse ved en eventuel fremtidig inspektion. Datatilsynet skal for god ordens skyld oplyse, at denne rapport forventes offentliggjort på tilsynets hjemmeside. 15

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback