Besvarelse  af  spørgsmål  nr. 29  (REU  alm.  del  –   bilag 52),  som  Folketingets  Retsudvalg  har  stillet  til  inden- rigs-  og  sundhedsministeren  og  justitsministeren  den 25. oktober 2005 Spørgsmål    29: "Ministerens kommentarer udbedes til Teknologirådets rapport: Retssikker- hed og aktivt medborgerskab i digital forvaltning" Svar: Teknologirådets rapport indeholder en række  anbefalinger til, hvordan digi- taliseringen af den offentlige forvaltning kan bruges til at styrke borgernes retssikkerhed og fremme et aktivt medborgerskab, hvor forvaltningen gøres mere gennemsigtig for borgeren. Anbefalingerne  vedrører  dels  brugen  og  indretninge n  af  elektroniske  sy- stemer, som henhører under Ministeriet for Videnskab, Teknologi og Udvi k- lings ressortområde, dels den forvaltningsretlige – herunder persondataret- lige –  lovgivning  generelt,  hvilket  henhører  under  Justitsministeriets  re s- sortområde. To  af  anbefalingerne  har  umiddelbart  en  særlig  betydning  for  kommunale borgerservicecentre (rapporten, s. 15).  Det anbefales således i rapporten, at borgerservicecentrenes frontmedarbejderes adgang til sager baseres på borgerens  samtykke,  og  at  der  skal  ske  en  registrering  af  samtykket  i ESDH-systemer og i fagsystemer. I dette svar på Retsudvalgets spørgsmål  kommenteres disse to anbefalin- ger.  Med  hensyn  til  de  øvrige  anbefalinger  henv ises  til  justitsministerens svar på samme spørgsmål. Med hensyn til spørgs målet om samtykke som betingelse for, at en medar- bejder  i  et  borgerservicecenter  har  adgang  til  oplysninger  i  kommunens egne sager  – manuelle sager eller sager i elektroniske systemer – kan det oplyses, at et sådan krav i et vist omfang følger af  de gælden de regler. Det- te  er  tilfældet,  hvis  borgerservicecenteret   i  en  ansøgning ssag  skal  bruge følsomme oplysninger  – manuelle eller elektroniske – om ansøgeren, som stammer fra en anden del af den kommunale forvaltning, under hvis lovgiv- ningsområde sagen ikke henhører. Der henvises til forvaltningslovens § 29 og til borgerservicecenterlovens § 3, stk. 3, modsætningsvis.  I andre tilfæ l- Indenrigs- og Sundhedsministeriet Dato: 14. november 2005 Kontor: 2.k.kt. J.nr.: 2005-2011-94 Sagsbeh.: abt Fil-navn: 2011.94.svar

2 de er der som udgangspunkt ikke i dag krav om, at borgeren skal give sam- tykke,  inden  medarbejderne  i  et  borgerservicecenter  kan  indhente  oplys- ninger  fra  kommunens  sager.  Kommunens,  herunder  borgerservicecente- rets,  adgang  til  at  genbruge  –  manuelle  eller  elektroniske  –  oplysninger, som kommunen i forvejen er i besiddelse af, er i øvrigt begrænset af fo  r- valtningslovens § 32, ifølge hvil ken den, der virker inden for den offentlige forvaltning, ikke i den forbindelse må skaffe sig fortrolige oplysninger, som ikke  er  af  betydning  for  udførelsen  af  den  pågældendes  opgaver  (sagli  g- hedskrav). Er  der  tale  om  elektronisk  behandlede  oplysninger,  vil  indhentningen  af oplysningerne tillige skulle ske i overensstemmelse med reglerne i person- datalovens kapitel 4, hvilket i de fleste tilfælde  heller ikke indebærer et krav om   indhentning   af   samtykke,   såfremt   indhentningen   er   nødvendig  for sagsbehandlingen.  Indhentningen  skal  i  øvrigt   ske  i  overensstemmelse med persondatalovens § 5, stk. 2, af hvilken det følger, at en behandling af personoplysninger    ikke    må    være    uforenelig    med    de    formål,    som oplysningerne oprindeligt er indsamlede til (finalité-princippet). Særligt m ed hensyn til samtykke som betingelse for bestemte medarbejde- res  adgang  til  sager  i  form  af  opslag  i  kommunens  elektroniske  systemer (adgangsrettigheder)   gælder   ovennævnte   regler   ligeledes.   Herudover fremgår det af persondatalovens § 5, stk. 1, at personoplysninger skal be- handles i overensstemmelse med god databehandlingsskik. Efter lovens § 41, stk. 3, skal den dataansvarlige endvidere bl.a. træffe de fornødne tekn  i- ske   og   organisatoriske   sikkerhedsforanstaltninger   mod,   at   oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Endelig fremgår det af § 11, stk. 1 og 2, i sikkerhedsbe- kendtgørelsen (bekendtgørelse om sikkerhedsforanstaltninger til beskytte  l- se  af  personoplysninger,  som  behandles  for  den  offentlige  forvaltning),  at kun personer, som autoriseres hertil, må have adgang til de personoplys- ninger, der behandles, og at der kun må autoriseres personer, der er be- skæftiget med de formål, hvortil personoplysningerne behandles. De enke l- te brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Datatilsynet  har  tidligere  afgivet  et  bidrag  til  Indenrigs-  og  Sundhedsmini- steriet til brug for ministeriets besvarelse af spørgsmål nr. 1 til fo rslag til lov om kommunale borgerservicecentre (L 72). Heri har Datatilsynet givet ud- tryk for, at brugen af medarbejdere til løsning af forskellige opgaver gør det påkræ vet, at der i forbindelse med borgerservicecenterkonstruktionen sker en forøgelse af behandlingssikkerheden , herunder med hensyn til styring af brugerrettigheder  og  interne  kontrolordninger  i  forhold  til  medarbejdernes anvendelse af IT-systemerne. Datatilsynet har i den forbindelse anført, at det kan overvejes, om adga n- gen til oplysninger om en borger kan tilrettelægges således, at et ko rt, som borgeren  har  i  sin  besiddelse,  skal  aflæses,  før  end  medarbejderen  hos myndigheden får adgang til oplysninger om borgeren. Datatilsynet har i den forbindelse  henledt  opmærksomheden  på,  at  Rådet  for  IT-Sikkerhed  i  sin

3 årsberetning for 2004 har anført , at Rådet mener, at den digitale signatur skal videreudvikles hen mod et egentligt chipkort eller lignende til alle bor- gere. Kortet bør kunne bruges af ejeren overalt i det danske samfund. Datatilsynet  har  herudover  oplyst,  at  en  løsning,  hvor  det  notere s  i  syste- met,  hvorfor  der foretages  opslag,  efter  Datatilsynets  opfattelse  kan  med- virke til at sikre, at der kun behandles oplysninger, når det er nødvendigt. En  lignende  lø sning  anvendes  i  systemer  på  sundhedsområdet,  hvor  det registreres i systemet f.eks. i form af en tro og love erklæring, at der er g i- vet samtykke, eller at den pågældende sundhedsperson har den registr e- rede person i behandling. For  så  vidt  angår et  borgerservicecenters  adgang  til  oplysninger,  som kommunen i forvejen er i besiddelse af, fraviger lov om kommunale borger- servicecentre  alene  den  forvaltningsretlige  lovgivning  på  et  enkelt  punkt. Det følger således af lovens § 3, stk. 3, at  et borgerservicecenter i en an- søgningssag  kan  indhente  følsomme  oplysninger,  som  er  fornødne  til  s   a- gens behandling, hos en anden del af kommunens forvaltning, under hvis lovgivningsområde  sagen  henhører.  Loven  indeholder  ikke  nogen generel retlig  regulering  af  borgerservicecentrenes  opgaveløsning ,  og  loven  inde- holder  endvidere  ingen  regler,  der  tager  særlig  sigte  på  digital  forvaltning eller  på  adgangsrettigheder.  Formålet  med  loven  er  alene  at  sikre,  at  der generelt ikke er flere juridiske barrierer, når et borgerservicecenter vareta- ger opgaver for kommunens fagforvaltninger eller andre myndigheder, end der  ville  være,  hvis   opgaverne  blev  varetaget  af  fagforvaltningerne  hen- holdsvis de andre myndigheder selv. En udvidelse af samtykkekravene i forbindelse med kommunale medarbej- deres adgang til sager er en generel forvaltningsretlig problemstilling, som ikke bø r reguleres i borgerservicecenterloven. En udvidelse af reglerne om adgangsrettigheder til også at omfatte et krav om  samtykke  er  en  særlig   persondataretlig  problemstilling,  som  ligeledes ikke bør r eguleres i borgerservicecenterloven. Der henvises i stedet til den ovenfor  refererede  udtalelse  fra  Datatilsynet,  som  Indenrigs-  og  Sund- hedsministeriet fortsat kan henholde sig til.