20.05.2020

Nyhed

Statsrevisorer: myndighedernes opbevaring af outsourcede personoplysninger er utilfredsstillende

Statsrevisorerne afgav deres beretning om outsourcede personoplysninger den 15. maj 2020, hvor de afgav stor kritik af myndighedernes håndtering af outsourcede persondata. De konkluderede, at myndighederne har ydet en utilfredsstillende indsats ved outsourcing af persondata, som øger risikoen for, at borgernes følsomme og fortrolige data kompromitteres.

Outsourcing

I Danmark outsources en stor andel af statslige it-systemer. Det betyder blandt andet, at eksterne leverandøre kommer til at stå for opgaver som drift, vedligeholdelse og udvikling af it-tjenester. Eksterne leverandører kan fx være private virksomheder eller andre offentlige myndigheder. Rigsrevisionen har derfor foretaget en undersøgelse, som har til formål at klarlægge, om myndigheder har ydet en tilfredsstillende indsats for at sikre, at følsomme og fortrolige persondata om borgere opbevares sikkert ved outsourcing. Rigsrevisionen har hertil gennemgået 148 it-systemer, hvor myndigheder har outsourcet opbevaring af personoplysninger. Det gælder fx myndigheder som Udlændinge- og Integrationsministeriet, Region Midtjylland og Finansministeriet.

Statsrevisorernes bemærkning – stor kritik af myndighederne

Statsrevisorerne har påtalt, at myndighedernes styring ikke har sikret, at outsourcede følsomme og fortrolige personoplysninger opbevares sikkert hos de eksterne databehandlere. Herudover påtaler Statsrevisorerne også, at myndigheder ikke har overholdt reglerne om databeskyttelse, som fx krav om at indgå databehandleraftaler, føre tilsyn med databehandlere og udarbejde risikovurderinger – regler som har været gældende siden år 2000.

I undersøgelsen har Statsrevisorerne fremhævet, at:

  • Myndighederne ikke har haft kendskab til alle underdatabehandlere, der har behandlet følsomme og fortrolige persondata i relation til 24 % af systemerne
  • Myndighederne ikke har udarbejdet en risikovurdering, inden de har indgået en databehandleraftale for 58 % af de it-systemer, der indgår i undersøgelsen, så de fx ikke har haft grundlag for at fastsætte passende sikkerhedsforanstaltninger
  • Myndighederne ikke har indgået databehandleraftaler for 14 % af it-systemerne, selv om de har outsourcet opbevaring af følsomme eller fortrolige personoplysninger
  • Myndighederne ikke har ført tilsyn med databehandlere i relation til 23 % af it-systemerne
  • Myndighederne ikke har undersøgt, om databehandlere overholder vilkårene i databehandleraftalen og databeskyttelsesreglerne
  • Myndigheder kun har udarbejdet en risikovurdering i 6 ud af 17 tilfælde, hvor de benytter globale cloud-udbydere til at opbevare personoplysninger
  • Myndighederne ikke har haft klarhed over indholdet af de standardvilkår, de har accepteret

Herudover hæfter Statsrevisorerne sig ved, at Justitsministeriet ikke har udgivet en bekendtgørelse eller vejledning om lokationskravet, som bestemmer, hvilke it-systemer der skal opbevares i Danmark af hensyn til statens sikkerhed. De bemærker også, at vejledninger fra Justitsministeriet og Finansministeriet først udkom efter, at myndighederne skulle have implementeret databeskyttelsesforordningen (GDPR).

Der er gået 8 år siden det største læk af følsomme og fortrolige personoplysninger, og 5 år siden Statsrevisorerne skarpt kritiserede en række statslige institutioner for ikke at beskytte personoplysninger i tilstrækkeligt omfang.

Statsrevisorerne bemærker, at det er bekymrende, at der stadig af så store problemer med sikring af følsomme og fortrolige personoplysninger, og at myndighederne samlet set har ydet en utilfredsstillende indsats for at sikre, at outsourcede følsomme og fortrolige personoplysninger opbevares sikkert. Konsekvensen af myndighedernes utilfredsstillende håndtering er en øget risiko for, at borgernes følsomme og fortrolige personoplysninger kompromitteres. For at behandlingen af borgernes personoplysninger sikres som forudsat i lovgivningen, er det derfor nødvendigt at styrke styringen af de eksterne databehandlere.

Seneste nyheder

Ændring af 15%-reglen for familieoverdragelser mindsker økonomisk fordel

Skatteministeriet lægger op til en væsentlig ændring af den såkaldte 15%-regel ved familieoverdragelser. Forældre vil således kunne overdrage fast ejendom til deres børn til +/- 20% af den seneste offentlige ejendomsvurdering efter den 1. juli 2020.  Ændringen betyder, at man fremover får en mindre økonomisk fordel ved familieoverdragelser, da det forventes, at ejendomsvurderingerne vil stige mærkbart.

EDPB har udstedt nye retningslinjer om samtykke

Det Europæiske Databeskyttelsesråd (EDPB) udstedte nye retningslinjer om samtykke den 4. maj 2020, som erstatter de ældre retningslinjer fra 2018, så de stemmer overens med databeskyttelsesforordningens (GDPR) bestemmelser. EDPB’s nye retningslinjer har ikke medført væsentlige ændringer, men er flere steder blevet præciseret og uddybet - der er blandt andet blevet tilføjet retningslinjer om samtykkekravet i relation til cookie-walls.

Tilmeld dig vores nyhedsbreve

Få vores nyhedsbreve og modtag seneste juridisk nyt.

Tilmeld dig nu