Indenrigs- og Sundhedsministeriet Dato:Â Â Â Â Â Â Â Â Â Â Â 15. januar 2007 Kontor:Â Â Â Â Â Â Â Â Forvaltningsjuridisk kt. J.nr.:Â Â Â Â Â Â Â Â Â Â Â Â 2006-1640-17
|
"Er ministeren enig i, at et væsentligt element i forbindelse med sikkerhed og rettighedsstyring er at sikre, at der sker en løbende re-evaluering af en sundhedspersons rettighedsadgang til data i takt med, at sundhedspersonen skifter afdeling, får nyt ansvarsområde, skifter job m.v. og hvordan forestiller ministeren sig, at en sådan re-evaluering skal ske i praksis?"
Jeg er enig i, at det er vigtigt, at der løbende foretages kontrol af, at de ansatte kun har adgang til de personoplysninger, som er nødvendige til brug for varetagelse af deres arbejde.
Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Efter § 11 i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, (sikkerhedsbekendtgørelsen) må kun autoriserede personer have adgang til de personoplysninger, som behandles, og der må kun autoriseres personer, som er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Efter sikkerhedsbekendtgørelsens § 12 skal der træffes foranstaltninger som sikrer, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.
Ved behandling af følsomme oplysninger/anmeldelsespligtige behandlinger skal autorisationerne angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger, jf. sikkerhedsbekendtgørelsens § 16.
Efter sikkerhedsbekendtgørelsens § 17, stk. 1, skal det sikres, at de autoriserede personer fortsat opfylder betingelserne i § 11, stk. 2 og 3, og § 16.
Det fremgår af vejledningen til sikkerhedsbekendtgørelsen (sikkerhedsvejledningen) vedrørende sikkerhedsbekendtgørelsens § 17, stk. 1, at autoriserede brugere til enhver tid kun må være autoriserede til anvendelser, de har brug for. Der må derfor være tilrettelagt arbejdsgange, som sikrer, at der tilgår funktionen, som administrerer autorisationerne, oplysning om ændring af brugeres behov for autorisation, herunder oplysning om medarbejdernes fratræden eller flytning inden for organisationen, således at de udstedte autorisationer kan blive ændret eller inddraget.
Kontrol heraf skal foretages mindst en gang hvert halve år, jf. sikkerhedsbekendtgørelsens § 17, stk. 2.
Det fremgår af sikkerhedsvejledningen vedrørende sikkerhedsbekendtgørelsens § 17, stk. 2, at der efter denne bestemmelse mindst en gang hvert halve år skal foretages kontrol af, at autorisationerne ajourføres som foreskrevet under stk. 1. Det er den dataansvarliges ansvar, at der fastlægges en passende kontrolprocedure. Denne procedure kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedt autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages.
Det følger endvidere af sikkerhedsbekendtgørelsens § 5, at den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af sikkerhedsbekendtgørelsen. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelse af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
Der er således i dag allerede regler, hvorefter den dataansvarlige skal tilrettelægge arbejdsgange, således at udstedte autorisationer kan blive ændret eller inddraget i lyset af medarbejdernes jobskifte, ændrede ansvarsområde m.v.
For så vidt angår spørgsmålet om, hvorledes re-evaluering skal foregå i praksis, henvises til min besvarelse af spørgsmål nr. 44 (L 50).