Datatilsynets undersøgelse er sket som en skriftlig indsamling af oplysninger ved brug af spørgeskemaer og opklarende spørgsmål efterfølgende. Tilsynets spørgsmål går tæt på et udvalg af de emner, hvor persondataloven og sikkerhedsbekendtgørelsen stiller en række formelle krav. Der er tale om stikprøver vedrørende de foranstaltninger, som myndigheder og virksomheder skal have på plads for at beskytte de personoplysninger, de er ansvarlige for. Det er en del af det værn, som skal være med til at forhindre, at personoplysninger kommer på afveje eller kan tilgås af uvedkommende.
Leder af Datatilsynets tilsynsenhed – kontorchef Jesper Husmer Vang – udtaler i den anledning:
”Vores undersøgelse er fokuseret på en række af de grundlæggende pligter: Man skal have sikkerhedsregler og aftaler med sine databehandlere, og man skal foretage tilsyn og påse, at sikkerheden er på plads, både i eget hus og hos eksterne databehandlerne. Sager som CSC-hackersagen har vist, at netop sikkerheden hos databehandlerne er rigtig vigtig.
Vores stikprøver viser, at databeskyttelsen – hos 7 ud af 8 af de statslige myndigheder – har omfattende eller meget omfattende mangler. Den mangelfulde databeskyttelse bekræfter desværre i vidt omfang en kedelig tendens hos de offentlige myndigheder, som vi fører tilsyn med. Vi er således tidligere stødt på de samme problemer i forbindelse med vores tilsyn med en række kommuner og med regionerne.
Jeg vil gerne komme med en kraftig opfordring til alle danske myndigheder og virksomheder om at forøge fokus på databeskyttelsen både hos dem selv og hos deres leverandører. De krav, som i dag følger af persondataloven, går ikke væk med den nye databeskyttelsesforordning – tværtimod – så det handler om, at organisationer, der behandler personoplysninger, skal se at få styr på deres data og deres databehandlere”.
Baggrund
Datatilsynet foretager hvert år en række planlagte tilsyn, hvor tilsynet stiller spørgsmål – nogle gange under besøg på stedet – andre gange ved brug af spørgeskemaer og lign.
I efteråret 2016 har Datatilsynet bl.a. foretaget tilsyn med 8 af landets statslige myndigheder. Tilsynene har været fokuseret på:
• Uddybende sikkerhedsregler,
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere
De detaljerede udtalelser kan ses på Datatilsynets hjemmeside under ”Afgørelser”. Tilsynets konklusioner er fokuseret på den skriftlige undersøgelse og er afgrænset til de emner og stikprøver, der indgår i tilsynets spørgeskemaer.
Datatilsynet har udtalt kritik
De mangler, som undersøgelserne har bragt frem i lyset, giver Datatilsynet grund til at udtale kritik i forskelligt omfang afhængigt af karakteren og omfanget af de fejl, som tilsynet har fundet.
Meget kritisabelt er udtalt til fire statslige myndigheder: Beskæftigelsesministeriet, Sundheds- og Ældreministeriet, Vejdirektoratet og Sundhedsdatastyrelsen. Hos disse myndigheder har Datatilsynet konkluderet, at der er meget omfattende mangler i efterlevelsen af persondataloven på de områder, som var omfattet af tilsynet.
Kritisabelt er udtalt til tre statslige myndigheder: Udlændinge- og Integrationsministeriet, Rigspolitiet og Rigsadvokaten. Hos disse myndigheder er der efter tilsynets opfattelse omfattende mangler i efterlevelsen af persondataloven på de områder, som tilsynet omfattede.
Datatilsynet har anmodet myndighederne om at redegøre for, hvilke skridt der vil blive taget for at sikre en bedre efterlevelse af persondataloven fremover – på de punkter, hvor der er fundet mangler.
En enkelt myndighed får ingen kritik
I forhold til en enkelt myndighed, Udbetaling Danmark, har Datatilsynet ikke konstateret nogen mangler i efterlevelsen af persondataloven på de områder, som tilsynet omfattede.
Databeskyttelsesforordningen
Den 25. maj 2018 erstatter den nye databeskyttelsesforordning persondataloven, som vi kender den i dag. Forordningen vil få stor betydning for alle organisationer, der behandler personoplysninger, og for Datatilsynets fremtidige arbejde.
Forordningen har direkte virkning i Danmark og gælder generelt i både den private og den offentlige sektor.