Rigsrevisionen kritiserer offentlige myndigheders brug af databehandlere og Datatilsynets tilsyn med databeskyttelsesreglerne
Rigsrevisionen har afgivet en beretning om offentlige myndigheders brug af databehandlere. I beretningen konkluderes det, at myndighederne ikke i tilstrækkelig grad har udøvet kontrol med de eksterne databehandleres behandling af outsourcede følsomme og fortrolige personoplysninger, f.eks. ved at tilsidesætte kravene om udarbejdelse af risikovurderinger og indgåelse af skriftlige databehandleraftaler. Desuden kritiseres Datatilsynet for ikke at føre effektivt tilsyn med overholdelsen af databeskyttelsesreglerne.
Utilstrækkelig kontrol af databehandlere
Danmark er blandt de lande i EU, som outsourcer den største andel af driften, vedligeholdelsen og udviklingen af statslige IT-systemer til eksterne leverandører, som både kan være private virksomheder eller andre offentlige myndigheder. Disse leverandører vil som regel være databehandlere for de pågældende offentlige myndigheder.
Efter en gennemgang af 148 IT-systemer, hvor opbevaringen af borgeres personoplysninger har været outsourceret til eksterne leverandører, har Rigsrevisionen konkluderet, at myndighederne samlet set har ydet en utilfredsstillende indsats for at sikre, at de outsourcede følsomme og fortrolige personoplysninger kunne opbevares sikkert hos databehandleren.
Rigsrevisionen fandt, at myndighederne samlet set har haft en meget utilfredsstillende styring af databehandlere, hvilket blandt andet skyldes, at der for 14 % af IT-systemerne ikke var indgået en skriftlig databehandleraftale mellem den pågældende offentlige myndighed og leverandøren, og at der for 23 % af IT-systemerne ikke var blevet ført tilsyn med databehandlerne. Rigsrevisionens undersøgelse viste endvidere, at der for 58 % af IT-systemerne ikke var udarbejdet en risikovurdering, inden der var indgået en databehandleraftale med leverandøren, og at de offentlige myndigheder alene havde udarbejdet en risikovurdering i 6 ud af de 17 tilfælde, hvor de benyttede globale cloud-udbydere til at opbevare personoplysninger.
Kritik af Datatilsynets håndhævelse af databeskyttelsesreglerne
Rigsrevisionen konkluderede desuden i sin beretning, at Justitsministeriet, herunder Datatilsynet, og Finansministeriet ikke i tilstrækkelig grad har understøttet de øvrige myndigheders styring af databehandlere.
Rigsrevisionens kritik fordeler sig over tre punkter:
- For få afsluttede planlagte tilsyn: Ifølge beretningen har Datatilsynet igangsat 85 planlagte tilsyn med kommuner, staten, regioner og private virksomheder i perioden den 25. maj 2018 - 1. februar 2020, men kun 11 af disse tilsyn er afsluttet. Ifølge Rigsrevisionen er det lave antal af afsluttede tilsyn kritisabelt, fordi Datatilsynets afgørelser i tilsynssager fungerer som fortolkningsbidrag i forhold til efterlevelse af reglerne.
- Ineffektiv tilsynsstrategi: Rigsrevisionens undersøgelse konkluderer, at Datatilsynet ikke har ført et risikobaseret tilsyn. Datatilsynet har ikke kunnet dokumentere, at det blev prioriteret at føre tilsyn med dataansvarlige, hvis behandling af personoplysninger indebar en særlig risiko for overtrædelse af databeskyttelsesreglerne. På denne baggrund er det ifølge Rigsrevisionen usikkert, om Datatilsynet har anvendt de tilgængelige ressourcer til at føre tilsyn der, hvor risikoen er størst.
- Forsinkede vejledninger: Ifølge Rigsrevisionen er antallet af vejledninger, der var offentliggjort den 25. maj 2018, da databeskyttelsesforordningen fandt anvendelse i Danmark, for lavt. Det kritiseres blandt andet, at Datatilsynets vejledning om de registreredes rettigheder først udkom 2 måneder efter databeskyttelsesforordningens anvendelsestidspunkt.
Datatilsynet har i en pressemeddelelse udmeldt, at kritikken tages alvorligt, og at tilsynet allerede på flere områder har iværksat ændringer.
Kontakt
