Datatilsynet har besluttet at undersøge sagen af egen drift.



Relaterede dokumenter
Vedrørende tilsyn med behandling af personoplysninger

Vedrørende tilsyn med behandling af personoplysninger

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

DanID A/S Lautrupbjerg 10 Postboks Ballerup

Sammenfattende kan Datatilsynet konkludere

hos statslige myndigheder

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Tilsynsbesøget fandt sted den 9. november 2018.

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale e-studio.dk Side 1 af 6

Forsikring & Pension Philip Heymans Allé Hellerup

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Retsudvalget REU Alm.del Bilag 364 Offentligt

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE Version 1.1a

artikel 96 eller artikel 97.

Skatteministeriet Nicolai Eigtveds Gade København K

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Skatteministeriet Nicolai Eigtveds Gade København K. Sendt til:

It-sikkerhedstekst ST5

Projektanmeldelse. Projektets titel. Dataansvarlig / projektleder. Oplysninger opbevares her

BILAG 14: DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Information om PenSam s behandling af ansøgeres personoplysninger mv.

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg

TDC A/S Nørregade København C. Att: Juridisk afdeling

Bilag A Databehandleraftale pr

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

HÅNDTERING AF HENVENDELSER VEDRØRENDE REGISTREREDES RETTIGHEDER

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Kontraktbilag 3. Databehandleraftale

PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

I den anledning skal Datatilsynet udtale følgende:

Kontraktbilag 7: Databehandleraftale

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Indenrigs- og Sundhedsministeriet Slotsholmsgade København K. Sendt til: med kopi til

It-sikkerhedstekst ST2

At LLO Horsens på hjemmesiden

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Rammeaftalebilag 5 - Databehandleraftale

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Forsvarsministeriets Materiel- og Indkøbsstyrelse

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Tilladelsen gives på følgende vilkår:

Persondatapolitik for BFA LAW

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Bilag B Databehandleraftale pr

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

BILAG 5 DATABEHANDLERAFTALE

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

! Databehandleraftale

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

2. Leverandøren er som databehandler forpligtet til følgende:

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Datatilsynet skal bemærke følgende:

Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

opfylde vores kontraktuelle forpligtelser over for dig, samt at

København d. 18. september Til Miljø- og Fødevareministeriet Slotsholmsgade København K

Overblik i forbindelse med den nye Persondataforordning Skema til dokumentation

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

De registreredes (kursisters) rettigheder i databeskyttelsesforordningen

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Onsdag den 17. oktober 2018

Databehandleraftale Underleverandør

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Forslag til Lov om ændring af lov om arbejdsskadesikring i Grønland

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

PRIVATLIVSPOLITIK OG DATABETINGELSER FOR MAXMEE

Transkript:

KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Datatilsynet er via en henvendelse fra Dansk Kørelærer-Union blevet opmærksom på, at der har været en sikkerhedsbrist i køreprøvebooking systemet. Til orientering vedlægges telefonnotater. Telefon 3319 3200 Fax 3319 3218 E-post dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2011-631-0136 Sagsbehandler Vita Horneman Direkte 3319 3232 Datatilsynet er endvidere blevet opmærksom på sikkerhedsbristen via en artikel på Version2: http://www.version2.dk/artikel/18671- koereproevebooking-paa-glatis-applikationsfejl-faar-kl-ognnit-til-at-droppe-skyen Datatilsynet har drøftet sagen telefonisk med KL den 12. april 2011. I henhold til persondatalovens 1 58, stk. 1, påser Datatilsynet af egen drift eller efter klage fra en registreret, at behandling af personoplysninger finder sted i overensstemmelse med loven og regler udstedt i medfør af loven. Datatilsynet har besluttet at undersøge sagen af egen drift. Datatilsynet skal i den forbindelse anmode KL om en redegørelse om følgende punkter: 1. Dataansvaret i forbindelse med overførslen til cloud-løsningen Datatilsynet går ud fra, at ansvaret for behandling af personoplysninger i forbindelse med kørekortbooking som udgangspunkt ligger hos de enkelte kommuner. I forhold til overførslen til cloud-løsningen er det Datatilsynets indtryk, at beslutningen er truffet af KL og ikke hver enkelt kommune. Det rejser efter Datatilsynets opfattelse et spørgsmål om, hvorvidt KL reelt har handlet som dataansvarlig 2 i denne henseende. 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 2. I lovens 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

2 KL bedes oplyse, om beslutningen om at overføre systemet til en cloudløsning er truffet af KL, og hvordan KL opfatter sin rolle i den forbindelse. 2. Oplysningernes karakter og antallet af berørte personer Datatilsynet er bekendt med, at der i hvert fald skulle være tale om oplysninger om personnumre, navne og email-adresser på kørelærerne samt oplysninger om elevernes personnumre og ikke-beståede og beståede prøver. Datatilsynet har imidlertid ikke et fuldstændigt overblik over, hvilke oplysninger der indgår. KL bedes derfor oplyse, hvilke oplysningstyper der indgår for hver af de to persongrupper, kørerlærere og elever. Indgår der f.eks. både navne, adresser og personnumre på eleverne? Indgår der oplysninger om betalingskort? KL bedes endvidere oplyse, hvor længe oplysningerne lagres i løsningen, og hvor gamle de ældste oplysninger, der har været overført, er, samt hvor mange personer der er berørt af det skete, herunder antal kørelærere og antal elever. 3. Anmeldelsespligten til Datatilsynet Datatilsynet lægger til grund, at de oplysninger, som behandles i forbindelse med ansøgning om kørekort, omfatter fortrolige oplysninger. Dette gælder efter tilsynets opfattelse også oplysningerne i et system til køreprøvebooking, hvori bl.a. behandles oplysninger om beståede og ikke-beståede prøver. Dermed er kommuners behandling af personoplysninger i dette system omfattet af anmeldelsespligten til Datatilsynet efter persondataloven 3. Datatilsynets lægger endvidere til grund, at den kommunale fællesanmeldelse Udstedelse af pas og kørekort omfatter behandlinger af personoplysninger i køreprøvebookingsystemet. Det bemærkes herved, at KL tidligere har fremsendt 4 ændring til fællesanmeldelsen netop vedrørende køreprøve-bookingsystemet. Anmeldelserne til Datatilsynet skal ifølge persondataloven 5 bl.a. indeholde oplysninger om navn og adresse på de databehandlere, der benyttes. Når der sker ændringer i disse oplysninger, er der efter loven også pligt til at anmelde ændringerne 6 til Datatilsynet. I kommunernes anmeldelser af Udstedelse af pas og kørekort ses hverken Microsoft eller NNIT anført som databehandler. 3 Se persondatalovens kapitel 12 4 KL s henvendelse af 6. oktober 2008 (vedr. videregivelse til politiet). 5 Se lovens 43, stk. 2 6 Se lovens 46

3 KL bedes oplyse, hvorfor anmeldelserne ikke er ændret ved anvendelsen af Microsoft i Irland som databehandler. KL bedes endvidere tage initiativ til at få opdateret kommunernes fællesanmeldelser Udstedelse af pas og kørekort, således at NNIT anføres som databehandler. 4. Overførsel af personoplysninger til tredjelande? Af fællesanmeldelsen Udstedelse af pas og kørekort fremgår, at der ikke overføres oplysninger til tredjelande. KL bedes fremsende oplysninger om, hvilke fysiske lokationer (adresser) oplysningerne har været behandlet på i forbindelse med anvendelsen af cloudløsningen. Hvis personoplysninger har været behandlet på lokationer uden for EU, bedes KL redegøre for, hvordan man har iagttaget persondatalovens 27. 5. Sikkerhedsbristen Ifølge de oplysninger, som Datatilsynet har modtaget, har oplysninger om samtlige elever og kørelærere været tilgængelige for samtlige brugere af løsningen, herunder alle kørelærerne. KL bedes oplyse, om dette er korrekt og endvidere oplyse, hvor mange brugere der er tale om, og om det alene er kørelærere, eller om der også er tale om ansatte hos kommunerne og/eller politiet? KL bedes endvidere beskrive, hvordan brugeradgangen under normale omstændigheder er indrettet. Da KL telefonisk har oplyst, at løsningen har sammenhæng med flere fødesystemer, muligvis CPR, bedes det oplyst, hvilke systemer der er tale om, herunder om der er adgang til CPR eller kommunale systemer med oplysninger fra CPR. Det bedes endvidere oplyst, hvordan adgangen til data fra sådanne systemer sker, og om de opståede fejl kan have givet nogen uvedkommende mulighed for at tilgå data i fødesystemerne. 6. Gennemgang af loggen Datatilsynet lægger som nævnt under punkt 3 til grund, at løsningen rummer behandling af fortrolige personoplysninger og er omfattet af anmeldelsespligten. Dette indebærer i forhold til sikkerhedskravene, at såvel kapitel 1og 2, som kapitel 3 i sikkerhedsbekendtgørelsen 7 gælder, herunder logningskravet i bekendtgørelsens 19. 7 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

4 KL bedes ved hjælp af loggen undersøge, i hvilket omfang personoplysningerne har været tilgået, herunder om der er brugere, som har set oplysninger, som må antages at være dem uvedkommende. 7. Håndtering af persondatalovens og sikkerhedsbekendtgørelsens krav ved overførslen til Microsofts cloud-løsning i Irland KL har telefonisk oplyst, at løsningen har været overført til en cloud-løsning hos Microsoft i Irland (Microsoft Azure). KL bedes redegøre for, hvordan man sikrede sig, at persondatalovens og sikkerhedsbekendtgørelsens krav blev iagttaget ved overførslen til den omhandlede cloud-løsning. Herunder ønskes navnlig følgende belyst: 7.1. Hvilken databehandleraftale blev indgået (kopi bedes fremsendt). 7.2. Hvordan det er sikret, at alle personoplysninger nu er effektivt slettet hos Microsoft. 8. Orientering af de berørte personer Hvis personoplysninger som følge af en sikkerhedsbrist har været tilgængelige for uvedkommende, vil det afhængigt af de konkrete omstændigheder følge af persondatalovens grundregel i 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed eller myndighed skal underrette de berørte personer. KL bedes oplyse, hvorvidt man har underrettet de berørte personer. Hvis underretning ikke allerede er sket, finder Datatilsynet, at KL må overveje dette, og at det i den forbindelse bl.a. må tages i betragtning, hvilke oplysninger der har været tilgængelige, jf. spørgsmål 2, samt i hvilket omfang oplysningerne har været tilgået, jf. spørgsmål 6. 9. Forholdet til kommunerne Som nævnt under punkt 1 ligger ansvaret for behandling af personoplysninger i forbindelse med kørekortbooking som udgangspunkt hos de enkelte kommuner. KL bedes oplyse, hvorvidt kommunerne er orienteret om det skete. KL bedes endvidere oplyse, hvordan KL fremover vil håndtere de personoplysninger, som indgår i de kommunale løsninger, herunder hvordan det sikres, at det er kommunerne som dataansvarlige, der træffer de væsentlige beslutninger vedrørende behandlingen af personoplysninger.

5 Afsluttende bemærkninger Datatilsynet skal anmode om svar senest 3 uger fra dags dato. Kopi af dette brev sendes til Dansk Kørelærer-Union Med venlig hilsen Lena Andersen Kontorchef Bilag: Telefonnotater vedr. samtaler med René Arnt, Dansk Kørelærer- Union og Michael Hald, KL

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback