Kulturudvalget 2014-15 (1. samling), Retsudvalget 2014-15 (1. samling)
KUU Alm.del Bilag 33, REU Alm.del Bilag 62
Offentligt
1420339_0001.png
1/2014
Beretning om
statens behandling af fortrolige
oplysninger om personer og virk-
somheder
PDF to HTML - Convert PDF files to HTML files
1420339_0002.png
1/2014
Beretning om
statens behandling af fortrolige
oplysninger om personer og virk-
somheder
Statsrevisorerne fremsender denne beretning
med deres bemærkninger til Folketinget og
vedkommende minister, jf. § 3 i lov om
statsrevisorerne og § 18, stk. 1, i lov om
revisionen af statens regnskaber m.m.
København 2014
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres eventuelle bemærkninger Rigsrevisionens beretning til Folketinget og vedkommende
minister.
Udenrigsministeren, skatteministeren, økonomi- og indenrigsministeren, justitsministeren, forsvarsministeren, ministeren for
børn, ligestilling, integration og sociale forhold, ministeren for sundhed og forebyggelse samt beskæftigelsesministeren afgi-
ver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.
På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beretningen, hvilket
forventes at ske i marts 2015.
Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles i Statsreviso-
rernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i marts måned – i dette tilfælde Endelig
betænkning over statsregnskabet 2014, som afgives i marts 2016.
PDF to HTML - Convert PDF files to HTML files
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Telefon: 33 37 59 87
Fax: 33 37 59 95
E-mail: [email protected]
Hjemmeside: www.ft.dk/statsrevisorerne
Yderligere eksemplarer kan
købes ved henvendelse til:
Rosendahls-Schultz Distribution
Herstedvang 10
2620 Albertslund
Telefon: 43 22 73 00
Fax: 43 63 19 69
E-mail: [email protected]
Hjemmeside: www.rosendahls.dk
ISSN 2245-3008
ISBN 978-87-7434-447-6
PDF to HTML - Convert PDF files to HTML files
1420339_0004.png
STATSREVISORERNES BEMÆRKNING
Statsrevisorernes bemærkning
Statsrevisorerne,
den 12. november 2014
BERETNING OM STATENS BEHANDLING AF FORTROLIGE OPLYSNINGER
OM PERSONER OG VIRKSOMHEDER
Digitalisering er en vigtig måde at forny og effektivisere den offentlige sektor på. Den
øgede digitalisering af kommunikationen mellem borgere, private virksomheder og
offentlige myndigheder forudsætter, at store mængder af data af fortrolig karakter be-
skyttes, så oplysningerne ikke falder i de forkerte hænder. Data beskyttes ved at kon-
trollere brugeradgange, registrere medarbejderes opslag, tjekke om interne retnings-
linjer og aftaler med eksterne databehandlere overholdes mv.
Rigsrevisionen har undersøgt, hvordan fortrolige oplysninger om personer og virk-
somheder behandles i 11 udvalgte it-systemer i 8 statslige institutioner: Arbejdsska-
destyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettig-
heder, Rigspolitiet, SKAT, Socialstyrelsen og Sundhedsstyrelsen, hvoraf flere er vant
til at håndtere store mængder fortrolige oplysninger.
Undersøgelsen viser, at ingen af de undersøgte institutioner efterlever alle de krav
til behandling af fortrolige personoplysninger, som er fastsat i sikkerhedsbekendtgø-
relsen, der er udstedt i medfør af persondataloven.
Det bemærkes, at den manglende efterlevelse af sikkerhedsbekendtgørelsens krav
kan gøre sig gældende for en større kreds af statslige institutioner.
Undersøgelsen viser endvidere, at sikkerheden ved behandling af fortrolige data fra
private virksomheder bør styrkes – også selv om der ikke er fastsat særlig lovgiv-
ning for beskyttelse af fortrolige virksomhedsoplysninger.
Statsrevisorerne kritiserer skarpt, at en række statslige institutioner ikke i til-
strækkeligt omfang beskytter fortrolige oplysninger om personer og virksom-
heder. Det medfører risiko for, at personer kan få krænket deres privatliv, og
at virksomheder kan miste konkurrencefordele, fordi personer, private virk-
somheder og offentlige myndigheder kan få adgang til fortrolige oplysninger,
som de ikke er berettigede til.
Statsrevisorerne finder det særdeles relevant, at flere af institutionerne meget
hurtigt har iværksat tiltag, der skal imødegå kritikpunkterne i undersøgelsen.
Peder Larsen
Henrik Thorup
Kristian Jensen
Klaus Frandsen
Lennart Damsbo-
Andersen
Lars Barfoed
PDF to HTML - Convert PDF files to HTML files
1420339_0005.png
STATSREVISORERNES BEMÆRKNING
Statsrevisorerne bemærker særligt, at Rigsrevisionen allerede i 2011 gjorde Dan-
marks Statistik opmærksom på manglende opfyldelse af sikkerhedsbekendtgørel-
sens krav. Statsrevisorerne finder det utilfredsstillende, at Danmarks Statistik endnu
ikke opfylder kravene.
Datatilsynet har bl.a. til opgave at føre tilsyn med, at statslige institutioner håndterer
fortrolige personoplysninger i overensstemmelse med persondataloven og tilhøren-
de regler. Statsrevisorerne har noteret sig, at Datatilsynet ikke har ført tilsyn med de
8 undersøgte it-systemer i de seneste 3 år.
Statsrevisorerne er opmærksomme på, at uklar ansvarsplacering mellem flere myn-
digheder kan svække tilsyn og datasikkerhed.
PDF to HTML - Convert PDF files to HTML files
1420339_0006.png
Beretning til Statsrevisorerne om
statens behandling af fortrolige
oplysninger om personer og virk-
somheder
Rigsrevisionen har selv taget initiativ til denne un-
dersøgelse og afgiver derfor beretningen til Stats-
revisorerne i henhold til § 17, stk. 2, i rigsrevisor-
loven, jf. lovbekendtgørelse nr. 101 af 19. januar
2012. Beretningen vedrører finanslovens § 6. Uden-
rigsministeriet, § 9. Skatteministeriet, § 10. Økono-
mi- og Indenrigsministeriet, § 11. Justitsministeriet,
§ 12. Forsvarsministeriet, § 15. Ministeriet for Børn,
Ligestilling, Integration og Sociale Forhold, § 16. Mi-
nisteriet for Sundhed og Forebyggelse og § 17. Be-
skæftigelsesministeriet.
PDF to HTML - Convert PDF files to HTML files
1420339_0007.png
Indholdsfortegnelse
1.
 
Introduktion og konklusion ............................................................................................ 1
 
1.1.
 
Formål og konklusion ............................................................................................ 1
 
1.2.
 
Baggrund .............................................................................................................. 2
 
1.3.
 
Revisionskriterier, metode og afgrænsning .......................................................... 3
 
Institutionernes beskyttelse af fortrolige oplysninger .................................................... 7
 
2.1.
 
Institutionernes beskyttelse af fortrolige oplysninger om personer ....................... 7
 
2.2.
 
Institutionernes beskyttelse af fortrolige oplysninger om virksomheder.............. 17
2.
 
Bilag 1. Metode ................................................................................................................... 20
 
Bilag 2. Undersøgelsens resultater og institutionernes fremadrettede initiativer ................ 22
 
Bilag 3. Ordliste ................................................................................................................... 24
 
PDF to HTML - Convert PDF files to HTML files
1420339_0008.png
Beretningen vedrører finanslovens § 6. Udenrigsministeriet, § 9. Skatteministeriet,
§ 10. Økonomi- og Indenrigsministeriet, § 11. Justitsministeriet, § 12. Forsvarsmini-
steriet, § 15. Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold, § 16.
Ministeriet for Sundhed og Forebyggelse og § 17. Beskæftigelsesministeriet.
I undersøgelsesperioden har der været følgende ministre:
Udenrigsministeriet:
Holger K. Nielsen: december 2013 - februar 2014
Martin Lidegaard: februar 2014 -
Skatteministeriet:
Jonas Dahl: december 2013 - februar 2014
Morten Østergaard: februar 2014 - september 2014
Benny Engelbrecht: september 2014 -
Økonomi- og Indenrigsministeriet:
Margrethe Vestager: oktober 2011 - september 2014
Morten Østergaard: september 2014 -
Justitsministeriet:
Karen Hækkerup: december 2013 - oktober 2014
Mette Frederiksen: oktober 2014 -
Forsvarsministeriet:
Nicolai Wammen: august 2013 -
Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold:
Annette Vilhelmsen: august 2013 - februar 2014
Manu Sareen: februar 2014 -
Ministeriet for Sundhed og Forebyggelse:
Astrid Krag Kristensen: oktober 2011 - februar 2014
Nick Hækkerup: februar 2014 -
Beskæftigelsesministeriet:
Mette Frederiksen: oktober 2011 - oktober 2014
Henrik Dam Kristensen: oktober 2014 -
Beretningen har i udkast været forelagt de respektive ministerier og institutioner,
hvis bemærkninger er afspejlet i beretningen.
PDF to HTML - Convert PDF files to HTML files
1420339_0009.png
INTRODUKTION OG KONKLUSION
1
1. Introduktion og konklusion
1.1. Formål og konklusion
1. Denne beretning handler om, hvordan en række statslige institutioner beskytter fortrolige
oplysninger om personer og virksomheder. Beretningen er udarbejdet som en smal beret-
ning, og undersøgelsen baserer sig på it-revisioner udført som led i årsrevisionen i foråret
2014. Formålet med revisionen har været at vurdere, om institutionerne beskytter fortrolige
oplysninger om personer og virksomheder tilstrækkeligt. Rigsrevisionen har selv taget initia-
tiv til undersøgelsen.
En
smal beretning
byg-
ger på de samme revi-
sionsprincipper og kvali-
tetskrav som Rigsrevisio-
nens øvrige beretninger,
men undersøgelsen er
foretaget på et mere af-
grænset område.
KONKLUSION
Rigsrevisionen har undersøgt, hvordan 8 statslige institutioner behandler fortrolige op-
lysninger om personer og virksomheder i 11 udvalgte it-systemer. Rigsrevisionen fin-
der det utilfredsstillende, at institutionerne ikke beskytter fortrolige oplysninger om per-
soner og virksomheder tilstrækkeligt.
Når en institution ikke beskytter fortrolige oplysninger tilstrækkeligt, øger det risikoen
for, at uvedkommende får kendskab til fortrolige oplysninger, og at oplysningerne kan
misbruges. Manglende beskyttelse af fortrolige oplysninger kan desuden svække bor-
geres og virksomheders tillid til it-sikkerheden i den statslige forvaltning, hvilket kan
blive en barriere for fortsat at digitalisere og effektivisere i staten.
Undersøgelsen viser, at ingen af de undersøgte institutioner efterlever alle de krav
til behandling af fortrolige personoplysninger, som fremgår af sikkerhedsbekendtgø-
relsen, og som er en uddybning af persondatalovens bestemmelser. De undersøgte
institutioner mangler i vidt omfang at opdatere interne retningslinjer, at kontrollere bru-
geradgange, at registrere medarbejdernes opslag og slette dem igen, at følge op på,
om indgåede aftaler med eksterne databehandlere overholdes, og at føre tilsyn med,
at interne sikkerhedsforanstaltninger overholdes. Selv institutioner som Danmarks
Statistik, Rigspolitiet og SKAT, der er vant til at håndtere store mængder fortrolige op-
lysninger, har i de undersøgte systemer ikke efterlevet sikkerhedsbekendtgørelsens
krav på flere punkter.
Om en
oplysning er fortrolig
afhænger af, om oplysningen er
af en sådan karakter, at den ef-
ter den almindelige opfattelse i
samfundet bør kunne forlanges
unddraget offentlighedens kend-
skab.
Oplysninger om racemæssig el-
ler etnisk baggrund, politisk, re-
ligiøs eller filosofisk overbevis-
ning, fagforeningsmæssige til-
hørsforhold, helbredsforhold,
seksuelle forhold, strafbare for-
hold og væsentlige sociale pro-
blemer vil utvivlsomt være for-
trolige oplysninger. Disse oplys-
ninger er nævnt i lov om be-
handling af personoplysninger,
§ 7, stk. 1, og § 8, stk. 1. De kal-
des også for
følsomme per-
sonoplysninger.
Oplysninger om interne familie-
forhold, fx stridigheder, og op-
lysninger om selvmordsforsøg
og ulykkestilfælde er også for-
trolige oplysninger. Herudover
vil fx oplysninger om indtægts-
og formueforhold samt arbejds-,
uddannelses- og ansættelses-
mæssige forhold efter omstæn-
dighederne også være fortrolige.
PDF to HTML - Convert PDF files to HTML files
1420339_0010.png
2
INTRODUKTION OG KONKLUSION
Danmarks Statistik behandler mange oplysninger om alle danskere, men registrerer
ikke medarbejdernes opslag i overensstemmelse med sikkerhedsbekendtgørelsens
krav. I praksis betyder det, at Danmarks Statistik ikke kan spore, om en medarbejder
har foretaget et uberettiget opslag, hvis der fx er lækket oplysninger om en persons
tidligere domme. Rigsrevisionen konstaterede allerede i 2011, at Danmarks Statistik
ikke umiddelbart registrerede medarbejdernes opslag efter sikkerhedsbekendtgørel-
sen. Datatilsynet vurderede i juli 2014, at kravet om at logge gælder for Danmarks
Statistik. Datatilsynet henstillede, at Danmarks Statistik tog skridt til at indrette sin be-
handling af personoplysninger, så sikkerhedsbekendtgørelsens krav blev opfyldt. Da-
tatilsynet og Danmarks Statistik er fortsat i dialog om sagen. Rigsrevisionen finder det
ikke tilfredsstillende, at Danmarks Statistik ikke har sørget for en hurtigere afklaring af
så vigtig en sag.
Rigsrevisionen har desuden undersøgt, om 3 af institutionerne også beskytter private
virksomheders fortrolige oplysninger tilstrækkeligt. Der er ikke fastsat særlig lovgivning
for at beskytte fortrolige virksomhedsoplysninger, som det gør sig gældende for fortro-
lige personoplysninger. Rigsrevisionen finder, at institutionerne bør forbedre sikkerhe-
den for de oplysninger, de behandler om private virksomheder, fordi læk af disse op-
lysninger fx kan skade virksomhedernes konkurrenceevne.
1.2. Baggrund
2. En stadig større del af kommunikationen mellem borgere, private virksomheder og offent-
lige institutioner foregår digitalt. Den øgede digitalisering bevirker, at der behandles store
mængder oplysninger af fortrolig karakter. Det kan fx være oplysninger om en persons hel-
bred, skatteforhold eller strafbare forhold.
Den øgede digitalisering stiller krav til institutionernes behandling af fortrolige oplysninger og
til selve it-sikkerheden, så det fx kun er de relevante medarbejdere i institutionen, der har
adgang til oplysningerne. Hvis en offentlig institution ikke beskytter oplysningerne tilstræk-
keligt, er der en øget risiko for, at personer, private virksomheder og offentlige institutioner
får adgang til oplysninger, som de ikke er berettigede til.
Brud på datasikkerheden kan have vidtrækkende konsekvenser for de personer og virksom-
heder, det går ud over, hvis oplysninger falder i de forkerte hænder. Personer kan få kræn-
ket deres privatliv, hvis fx oplysninger om deres helbred eller strafbare forhold pludselig bli-
ver omtalt i medierne. Private virksomheder kan fx miste konkurrencefordele, hvis en konkur-
rent får uberettiget kendskab til fortrolige oplysninger om virksomhedens produkter.
Problemstillingen er især aktuel, efter at det i april 2014 kom frem, at en medarbejder med
adgang til fortrolige personoplysninger angiveligt skulle have overvåget oplysninger om kend-
te danskere og solgt oplysningerne videre. Episoden har bl.a. ført til debat om, hvordan per-
sonoplysninger skal håndteres. I forlængelse heraf har Folketingets Kulturudvalg og Folke-
tingets Retsudvalg i juni 2014 i fællesskab afgivet en beretning om nedsættelse af en parla-
mentarisk arbejdsgruppe, der skal undersøge mulighederne for en bedre beskyttelse af per-
sonfølsomme oplysninger og et effektivt tilsyn med såvel offentlige institutioners som private
virksomheders behandling af disse oplysninger.
PDF to HTML - Convert PDF files to HTML files
1420339_0011.png
INTRODUKTION OG KONKLUSION
3
3. Det er de statslige institutioners ansvar at sikre, at fortrolige oplysninger om personer og
virksomheder bliver behandlet korrekt. Finansministeriet har ressortansvaret for it-sikker-
hedspolitikken i staten og fastlægger rammevilkårene for digitalisering af den offentlige sek-
tor. Datatilsynet er den statslige myndighed, der fører tilsyn med, at institutionerne behand-
ler oplysninger om personer i overensstemmelse med persondataloven og regler udstedt i
medfør af loven.
4. En statslig institution kan sikre oplysninger ved at gennemføre forskellige tiltag, der for-
bedrer it-sikkerheden. Det kan være gennem organisatoriske eller administrative tiltag som
fx at udarbejde risikovurderinger og instrukser, som fastlægger forretningsgange og ansvar
for it-sikkerheden og for kontrol og tilsyn. Det kan også være tekniske løsninger, der med-
virker til at sikre, at kun medarbejdere med et arbejdsbetinget behov får adgang til oplysnin-
gerne. Desuden kan det være at sikre den fysiske bygning, hvor oplysninger behandles,
mod uautoriseret adgang.
5. Behandling af oplysninger om personer er omfattet af lov om behandling af personoplys-
ninger (persondataloven). Persondatalovens bestemmelser er uddybet i bekendtgørelse om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den of-
fentlige forvaltning (sikkerhedsbekendtgørelsen).
Ud over personoplysninger indsamler de statslige institutioner også en række fortrolige op-
lysninger om virksomheder. Der eksisterer ingen lovgivning for behandling af oplysninger om
virksomheder i Danmark på samme måde som for personoplysninger.
Der findes flere vejledninger, standarder mv., som handler om it-sikkerhed, bl.a. den danske
informationssikkerhedsstandard DS 484 og den internationale informationssikkerhedsstan-
dard ISO 27001. De statslige institutioner har fra januar 2014 skullet følge ISO 27001. Digi-
taliseringsstyrelsen har også udarbejdet en række guider, vejledninger og paradigmer til
brug for de statslige institutioners arbejde med informationssikkerhed.
Regler for personoplysninger
Lov nr. 429 af 31. maj 2000 om
behandling af personoplysnin-
ger (persondataloven).
Bekendtgørelse nr. 528 af 15.
juni 2000 om sikkerhedsforan-
staltninger til beskyttelse af per-
sonoplysninger, som behand-
les for den offentlige forvaltning
(sikkerhedsbekendtgørelsen).
Persondataloven bygger på et
EU-direktiv fra oktober 1995. I
lyset af den teknologiske udvik-
ling, globaliseringen og den sti-
gende anvendelse af personop-
lysninger arbejdes der i EU-regi
på at regulere databeskyttelses-
området, bl.a. i en generel for-
ordning (bindende retsakt).
1.3. Revisionskriterier, metode og afgrænsning
Revisionskriterier
6. Undersøgelsens revisionskriterier er baseret på persondataloven og sikkerhedsbekendt-
gørelsen for så vidt angår institutionernes beskyttelse af fortrolige personoplysninger. Da
der ikke eksisterer lovgivning for at beskytte oplysninger om fortrolige virksomhedsoplysnin-
ger, har vi baseret vores revisionskriterier på informationssikkerhedsstandarden ISO 27001.
Metode
7. Undersøgelsen er baseret på it-revisioner udført som led i årsrevisionen. Undersøgelsen
omfatter 8 statslige institutioner, som er udvalgt, fordi de alle behandler fortrolige oplysnin-
ger om personer og/eller virksomheder. Vi har udvalgt 1-2 it-systemer hos hver institution. I
forbindelse med årsrevisionen udvælger vi primært it-systemer til revision efter væsentlig-
hed og risiko, men vi prioriterer også at udvælge mindre it-systemer for at kunne vurdere
systemerne bredt. Vi har derfor udvalgt både små og store institutioner, der behandler for-
trolige person- og virksomhedsoplysninger i it-systemer. Vi har også udvalgt it-systemer, der
både har få og mange brugere af systemerne, og it-systemer, der har registreret få og man-
ge personer/virksomheder. Undersøgelsens resultater kan endvidere underbygges af erfa-
ringer fra tidligere it-revisioner. Se bilag 1 om metode.
I afsnit 2.1 undersøger vi, hvordan institutionerne beskytter oplysninger om personer i 8 it-
systemer. I afsnit 2.2 undersøger vi, hvordan institutionerne beskytter oplysninger om virk-
somheder i 3 it-systemer.
Tabel 1 viser, hvilke oplysninger de undersøgte systemer indeholder, hvad systemerne an-
vendes til, hvor mange personer og virksomheder der er registreret i systemerne, og hvor
mange brugere der har adgang til oplysningerne.
Standarder for informations-
sikkerhed
DS 484 og ISO 27001 er begge
informationssikkerhedsstandar-
der. Der er forskel på indholdet
i sikkerhedsstandarderne, men
for dem begge gælder det, at
efterlevelse af standarden er en
metode til at sikre virksomhe-
dernes informationer.
Brugere af et it-system
er in-
terne brugere, fx medarbejdere
i en statslig institution, og eks-
terne brugere, fx medarbejdere
i kommuner, der har adgang til
at behandle oplysninger om de
personer/virksomheder, der er
registreret i systemet. Brugerne
kan fx have adgang til at læse
og/eller redigere i oplysningerne.
Antal
registrerede i et it-sy-
stem
er antallet af personer
(eller virksomheder), som der
findes oplysninger om i syste-
met. Når en person fx betaler
skat, registreres oplysninger om
personens skatteforhold i et it-
system. Antal registrerede per-
soner er alle de personer, hvis
oplysninger er registreret i sy-
stemet.
PDF to HTML - Convert PDF files to HTML files
1420339_0012.png
4
INTRODUKTION OG KONKLUSION
Tabel 1. De undersøgte systemer
Institution og system
Indhold af oplysninger
Systemet anvendes af
Antal registrerede i
systemet
Antal brugere af
systemet
Systemer med fortrolige oplysninger om personer:
Arbejdsskadestyrelsen
Scan Jour P (SJP) under-
støtter behandlingen af sa-
ger om, hvorvidt skader el-
ler sygdomme kan aner-
kendes som arbejdsska-
der.
Danmarks Statistik
Oracle Database er op-
delt i adskilte projekter.
Bruges til statistiske ana-
lyser mv. Systemet inde-
holder alle de oplysninger,
som Danmarks Statistik
modtager.
Forsvarskommandoen
Lønmodulet i Dansk For-
svars Management- og
Ressourcestyringssystem
(DeMars), der er et kon-
cernfælles styringssystem.
Institut for Menneske-
rettigheder
Et almindeligt fildrev (G-
drevet), der understøtter
behandlingen af sager om
menneskerettigheder og
ligebehandling. På drevet
gemmes vedhæftede filer
fra den indgående post.
Rigspolitiet
Det Centrale Kriminalre-
gister (Kriminalregisteret)
indeholder afgørelser mv. i
kriminalsager. Registeret
bruges bl.a. til at udskrive
straffeattester til brug for
strafferetsplejen og til at
udarbejde kriminalstatistik.
SKAT
Faglige kontingenter og
A-Kassebidrag (AKFA) in-
deholder indberetninger
om faglige kontingenter
og a-kassebidrag.
Socialstyrelsen
Stofmisbrugerdatabasen
(SMDB) bruges til lovover-
vågning, forskning og for-
midling.
Sundhedsstyrelsen
Udleveringstilladelser
(ULS) understøtter be-
handlingen af ansøgnin-
ger fra læger, dyrlæger
og tandlæger om at udle-
vere lægemidler, der ikke
markedsføres i Danmark.
Skader, ulykker, sygdom-
me mv.
Arbejdsskadestyrelsen,
Ankestyrelsen, Arbejds-
tilsynet, forsikringssel-
skaber og kommuner.
1.003.013 personer
349 interne og eksterne
brugere.
Kriminalitet, domme, so-
ciale ydelser, folke- og
førtidspension, lægebe-
søg, opholdstilladelser,
trafikuheld, fødsel og
adoption mv.
Danmarks Statistik.
Alle personer med et
cpr-nr., herunder også
afdøde.
Typisk 3-8 interne bruge-
re pr. projekt. En bruger
har typisk adgang til flere
projekter. Kun et fåtal har
adgang til mere end 20
forskellige projekter. I alt
450 interne brugere.
12.272 brugere, heraf
10.512 interne brugere
og 1.760 eksterne bru-
gere.
Modulet indeholder bl.a.
oplysninger om cpr-nr.,
helbred, militære straffe,
løn og fravær.
Forsvarskommandoen og
Moderniseringsstyrelsen.
282.599 personer
Navn, adresse, etnicitet,
politisk anskuelse, virk-
somheders politikker,
procedurer, planer mv.
Institut for Menneskeret-
tigheder.
1.695 personer
30 interne brugere.
Lovovertrædelser, rejste
sigtelser og afgørelser
truffet i straffesager.
Politiet, anklagemyndig-
heden, Den Uafhængige
Politiklagemyndighed,
Udlændingestyrelsen,
Auditørkorpset, Justits-
ministeriet og Kriminal-
forsorgens anstalter og
arresthuse.
SKAT, fagforeninger,
a-kasser og private for-
eninger.
Antallet af registrerede
personer er fortroligt, men
der er tale om et betyde-
ligt antal.
14.700 interne og
eksterne brugere.
Medlemskab af fagfor-
ening og a-kasse.
2.639.752 personer
1.341 brugere, heraf
2 interne brugere.
Sociale og økonomiske
forhold for stofmisbrugere
i behandling, helbred,
stofforbrug og behand-
lingsintensitet og -formål.
Ansøgte lægemidler, an-
søgers data, patientnavn,
cpr-nr., eventuel adresse
og virksomhedsnavn og
-adresse.
Socialstyrelsen, Sund-
hedsstyrelsen, Statens
Serum Institut og Center
for Rusmiddelforskning.
40.848 personer
750 brugere, heraf
12 interne brugere.
Sundhedsstyrelsen.
4.253 personer
27 brugere, heraf
24 interne brugere
1)
og 3 eksterne brugere.
PDF to HTML - Convert PDF files to HTML files
1420339_0013.png
INTRODUKTION OG KONKLUSION
5
Institution og system
Indhold af oplysninger
Systemet anvendes af
Antal registrerede i
systemet
Antal brugere af
systemet
Systemer med fortrolige oplysninger om virksomheder:
SKAT
Selskabsskattesystemet
(3S) anvendes til at indta-
ste og beregne skat for
selskaber, fonde og for-
eninger, ændringer af ind-
komster, administration af
udbytte til selskaber og
personer i både Danmark
og i udlandet samt regi-
strering af diverse oplys-
ninger til statistisk brug.
Socialstyrelsen
Project Flow bruges til at
styre projekter internt i
styrelsen.
Sundhedsstyrelsen
Kategorisering Af Total-
oplysninger (KAT) anven-
des primært til at god-
kende lægemidler. Det er
sundhedsproduktområ-
dets centrale database.
1)
2)
Selskabers stamoplysnin-
ger, hovedaktionærfor-
hold, sambeskatning, lig-
ningsoplysninger, skatte-
beregning, udbytte mv.
SKAT, kommuner, Dan-
marks Statistik, Økonomi-
og Indenrigsministeriet,
visse banker og Statens
Arkiver.
407.303 virksomheder
2.290 brugere, heraf
6 eksterne og alle kom-
muner.
2)
Oplysninger om interne
projekter og satspuljepro-
jekter med relevante pro-
jektdokumenter.
Oplysninger om et givent
lægemiddel, substitution,
virksomhedstilladelser,
kliniske forsøg, laborato-
riekontrol, apoteksregn-
skab mv.
Socialstyrelsen.
543 aktive projekter
3)
398 brugere, heraf 4
eksterne brugere.
Sundhedsstyrelsen og
Statens Serum Institut.
19.838 virksomheder
532 brugere, heraf
522 interne brugere
1)
og 10 eksterne brugere.
Sundhedsstyrelsen har oplyst, at test- og systembrugere er medregnet i opgørelsen over interne brugere.
SKAT har oplyst, at kommunerne selv administrerer brugeradgange til de ansatte, som skal have læseadgang til 3S. Derfor kender SKAT ikke
antallet af brugere i kommunerne.
Opgjort pr. 26. august 2014.
3)
Note: Oplysninger om antal brugere og registrerede i systemet er opgjort i juni 2014.
Kilde: Rigsrevisionen på baggrund af oplysninger fra de undersøgte institutioner.
Det fremgår af tabel 1, at alle undersøgte systemer indeholder fortrolige oplysninger om per-
soner og/eller virksomheder. Der er registreret oplysninger lige fra tidligere straffe i Kriminal-
registeret over behandling for misbrug i Stofmisbrugerdatabasen til oplysninger om medlem-
skab af fagforening i SKATs register.
Danmarks Statistik har registreret oplysninger om alle personer med et cpr-nr. Arbejdsskade-
styrelsen har registreret oplysninger om ca. 1 mio. personer i sit system. Omfanget af regi-
strerede i et system kan give et billede af, hvor mange personer og virksomheder det kan be-
røre, hvis oplysninger i systemet skulle komme uvedkommende personer/virksomheder til
kendskab. Antallet af brugere af et system fortæller, hvor mange personer der har adgang
til oplysningerne. Systemerne i Rigspolitiet og Forsvarskommandoen har henholdsvis ca.
15.000 og ca. 12.000 brugere.
8. Undersøgelsen er baseret på skriftligt materiale, som er indhentet fra de 8 undersøgte
institutioner. Det drejer sig bl.a. om informationssikkerhedspolitikker, retningslinjer for beskyt-
telse af oplysninger, oversigter over systemer med oplysninger om personoplysninger og
virksomhedsoplysninger, databehandleraftaler og serviceaftaler med it-driftsleverandørerne.
Vi har endvidere besøgt de 8 institutioner. Hver enkelt institution har modtaget en særskilt
rapport om resultater, som institutionen har haft mulighed for at kommentere på. Institutio-
nerne har endvidere haft et udkast til beretning i høring.
Forsvarsministeriet blev omor-
ganiseret pr. 1. oktober 2014.
Det betød bl.a., at Forsvars-
kommandoen blev nedlagt.
PDF to HTML - Convert PDF files to HTML files
1420339_0014.png
6
INTRODUKTION OG KONKLUSION
9. Som tidligere nævnt fører Datatilsynet tilsyn med, at institutionernes praksis i forhold til
fortrolige personoplysninger lever op til persondataloven. Vi har derfor været i dialog med
Datatilsynet for at sikre en ensartet udlægning af kravene i lovgivningen, som vi har lagt til
grund, når vi har vurderet institutionernes måde at behandle fortrolige personoplysninger på.
Datatilsynet er kort omtalt i denne undersøgelse i forhold til Datatilsynets tilsyn med de un-
dersøgte systemer. Datatilsynet har ligeledes haft et udkast til beretning i høring.
Revisionen er udført i overensstemmelse med god offentlig revisionsskik, jf. boks 1.
BOKS 1. GOD OFFENTLIG REVISIONSSKIK
God offentlig revisionsskik er baseret på de grundlæggende revisionsprincipper i rigsrevisionernes
internationale standarder (ISSAI 100-999).
Afgrænsning
10. It-revisionen er udført i perioden januar 2014 - maj 2014. Undersøgelsen giver derfor et
billede af, hvordan institutionerne sikrede fortrolige oplysninger om personer og virksomhe-
der i de undersøgte systemer i den pågældende periode.
Undersøgelsen omfatter udvalgte statslige institutioner og fokuserer på institutionernes an-
svar for at beskytte fortrolige oplysninger om personer og virksomheder. Undersøgelsens
resultater vedrører kun de undersøgte systemer. Baseret på erfaring fra andre it-revisioner
er det dog Rigsrevisionens vurdering, at den manglende efterlevelse af sikkerhedsbekendt-
gørelsen kan gøre sig gældende for en større kreds af statslige institutioner.
Vejledning nr. 125 af 10. juli
2000 om anmeldelse i hen-
hold til kapitel 12 i lov om
behandling af personoplys-
ninger (til den offentlige for-
valtning)
Det fremgår bl.a. af pkt. 2.1.3 i
vejledningen, hvilke oplysnin-
ger der anses for fortrolige, og
hvilke oplysninger som utvivl-
somt vil være fortrolige.
Alle de undersøgte systemer indeholder fortrolige oplysninger. Det afgørende for, om en op-
lysning skal anses for fortrolig, vil være en vurdering af, om oplysningen er af en sådan ka-
rakter, at den efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget
offentlighedens kendskab, jf. vejledning om anmeldelse. Oplysninger om personer i de un-
dersøgte systemer er omfattet af de almindelige og generelle krav til beskyttelse i sikkerheds-
bekendtgørelsens kap. 1 og 2 og de supplerende krav til sikkerhedsforanstaltninger i kap. 3.
Vi har undersøgt institutionernes efterlevelse af udvalgte bestemmelser, og disse fremgår af
hvert enkelt afsnit.
I forbindelse med høringssvarene har flere institutioner gjort opmærksom på, at de har plan-
lagt eller allerede har iværksat flere initiativer, der imødekommer vores kritikpunkter. De
fremadrettede initiativer fremgår af bilag 2, som også viser en oversigt over undersøgelsens
resultater. Bilag 3 indeholder en ordliste, der forklarer udvalgte ord og begreber.
PDF to HTML - Convert PDF files to HTML files
1420339_0015.png
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
7
2. Institutionernes beskyttelse af fortrolige
oplysninger
2.1. Institutionernes beskyttelse af fortrolige oplysninger om personer
11. Dette afsnit handler om, hvordan de statslige institutioner har beskyttet de fortrolige per-
sonoplysninger, der indgår i de undersøgte systemer.
Institutionernes retningslinjer for at sikre fortrolige personoplysninger
12. Det er vigtigt, at institutionerne har klarlagt, hvordan fortrolige oplysninger skal håndte-
res, og at retningslinjerne afspejler de faktiske forhold i institutionen. Vi har derfor undersøgt,
om institutionerne har opdaterede retningslinjer for, hvordan institutionerne skal beskytte
fortrolige oplysninger om personer. Boks 2 viser sikkerhedsbekendtgørelsens krav om ret-
ningslinjer.
BOKS 2. SIKKERHEDSBEKENDTGØRELSENS KRAV OM RETNINGSLINJER
Sikkerhedsbekendtgørelsens § 5, stk. 1 og 2:
Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsfor-
anstaltninger i myndigheden til uddybning af de regler, der fremgår af bekendtgørelsen. Bestem-
melserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorga-
nisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med
autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver
behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr.
De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de
er fyldestgørende og afspejler de faktiske forhold i myndigheden.
13. Vi har gennemgået de interne retningslinjer, instrukser, sikkerhedshåndbøger mv., som
institutionerne har udarbejdet, for nærmere at uddybe sikkerhedsbekendtgørelsens bestem-
melser.
PDF to HTML - Convert PDF files to HTML files
1420339_0016.png
8
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
Tabel 2 viser, hvilke institutioner der har udarbejdet retningslinjer for at sikre fortrolige per-
sonoplysninger, og om retningslinjerne er opdaterede.
Tabel 2. Retningslinjer for at sikre fortrolige personoplysninger i de undersøgte institutioner
Arbejds-
skade-
styrelsen
Er der ret-
ningslinjer
for at sikre
personop-
lysninger?
Er retnings-
linjerne op-
dateret år-
ligt?
Institut for
Menneske-
rettigheder
Danmarks
Statistik
Forsvars-
komman-
doen
Rigspolitiet
SKAT
Social-
styrelsen
Sundheds-
styrelsen
Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
Kilde: Rigsrevisionen.
Det fremgår af tabel 2, at 5 ud af 8 institutioner (Arbejdsskadestyrelsen, Danmarks Statistik,
Forsvarskommandoen, Rigspolitiet og SKAT) havde retningslinjer for at sikre grundlaget for
at beskytte fortrolige oplysninger om personer. Institut for Menneskerettigheder havde ikke
nogen retningslinjer, der var dækkende. Socialstyrelsen og Sundhedsstyrelsen manglede
enkelte specifikke retningslinjer, fx for distancearbejdsplads.
Persondatalovens kap. 11 inde-
holder en række bestemmelser
om, hvilke sikkerhedsforanstalt-
ninger der skal træffes i forbin-
delse med behandling af per-
sonoplysninger.
Det følger bl.a. af disse regler
(§ 41, stk. 3), at den dataan-
svarlige skal træffe de fornød-
ne tekniske og organisatoriske
sikkerhedsforanstaltninger mod,
at oplysninger hændeligt eller
ulovligt tilintetgøres, fortabes
eller forringes, og mod, at de
kommer til uvedkommendes
kendskab, misbruges eller i øv-
rigt behandles i strid med loven.
Det samme gælder for de så-
kaldte databehandlere. Regler-
ne er nærmere fastsat i sikker-
hedsbekendtgørelsen.
Ingen af de 7 institutioner, der havde retningslinjer, havde opdateret alle retningslinjer inden
for det seneste år, som de skal ifølge sikkerhedsbekendtgørelsen. Det gjaldt fx retningslinjer
for adgangsstyring, logning og overvågning. Gennemgangen viser, at der fx var retningslin-
jer, der senest var opdateret i 2009. Da der ofte forekommer tekniske og organisatoriske æn-
dringer, medfører den manglende opdatering, at sikkerheden kan være utilstrækkelig, da
retningslinjerne ikke nødvendigvis afspejler de faktiske forhold i institutionen.
Institutionernes sikring af fortrolige personoplysninger i praksis
14. Vi har undersøgt, hvordan institutionerne beskytter fortrolige personoplysninger i prak-
sis, så risikoen for, at fortrolige oplysninger kommer uvedkommende til kendskab, mindskes.
Konkret har vi undersøgt, om institutionerne kontrollerer medarbejdernes adgang til fortro-
lige personoplysninger, om institutionerne kontrollerer afviste adgangsforsøg, om institutio-
nerne registrerer medarbejdernes opslag i systemerne, om institutionerne har indgået afta-
ler med eksterne databehandlere om behandling af fortrolige oplysninger, og om institutio-
nerne fører tilsyn med deres sikkerhedsforanstaltninger. De undersøgte punkter fremgår al-
le af sikkerhedsbekendtgørelsen.
PDF to HTML - Convert PDF files to HTML files
1420339_0017.png
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
9
Institutionernes kontrol af medarbejdernes adgang til fortrolige personoplysninger
15. Institutionerne må kun give medarbejdere adgang til fortrolige personoplysninger, hvis
de skal bruge oplysningerne til at løse deres arbejdsopgaver. Samtidig skal institutionerne
løbende kontrollere, at medarbejdernes adgange fortsat er relevante. Boks 3 viser sikker-
hedsbekendtgørelsens krav om brugeradgange og kontrol heraf.
BOKS 3. SIKKERHEDSBEKENDTGØRELSENS KRAV OM BRUGERADGANGE OG KONTROL
HERAF
Sikkerhedsbekendtgørelsens § 11, stk. 2, og § 17, stk. 1 og 2:
Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne
behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne.
Kontrol heraf skal foretages mindst én gang hvert halve år.
Vi har bl.a. gennemgået institutionernes retningslinjer for at autorisere medarbejderne, ledel-
sernes godkendelser af de oprettede brugere og dokumentation for institutionernes senest
udførte kontroller af brugernes rettigheder til adgang i systemerne.
Vores gennemgang viser, at alle 8 undersøgte institutioner har defineret, hvilke brugere der
må have adgang, og har godkendt de pågældendes autorisationer. Institutionerne ved alt-
så, hvilke systemer og dermed hvilke oplysninger de har givet medarbejderne adgang til.
Arbejdsskadestyrelsen og Danmarks Statistik manglede dog dokumentation for, at de op-
rindelige autorisationer til systemerne var godkendt. Danmarks Statistik har oplyst, at der
ikke er dokumentation for, at de oprettede brugeradgange før 2011 er godkendt. Efter 2011
er oprettelser dokumenteret i en digital løsning. Tabel 3 viser institutionernes kontrol af bru-
gernes adgang i de undersøgte systemer.
Tabel 3. Kontrol af brugernes adgang i de undersøgte systemer
Arbejds-
skade-
styrelsen
Kontrolle-
res bruger-
adgange
halvårligt?
Institut for
Menneske-
rettigheder
Danmarks
Statistik
Forsvars-
komman-
doen
Rigspolitiet
SKAT
Social-
styrelsen
Sundheds-
styrelsen
Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
Kilde: Rigsrevisionen.
Det fremgår af tabel 3, at 2 ud af de 8 institutioner (Danmarks Statistik og Forsvarskomman-
doen) har kontrolleret, at brugerne stadig havde et arbejdsbetinget behov for at have adgang
til systemerne. Kontrollen var udført halvårligt, som de skal ifølge sikkerhedsbekendtgørelsen.
PDF to HTML - Convert PDF files to HTML files
1420339_0018.png
10
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
6 institutioner (Arbejdsskadestyrelsen, Institut for Menneskerettigheder, Rigspolitiet, SKAT,
Socialstyrelsen og Sundhedsstyrelsen) har ikke udført en halvårlig kontrol. Rigspolitiet har
udført kontrollen årligt. SKAT har udført en halvårlig kontrol, men vores gennemgang viser,
at kontrollen ikke var effektiv, da flere medarbejdere havde adgang til oplysninger, som de
ikke havde et arbejdsbetinget behov for.
Institutionernes kontrol af afviste forsøg på at få adgang til fortrolige personoplysninger
16. Institutionerne skal følge op på, om der er gentagne forsøg på at få adgang til systemer,
der indeholder fortrolige personoplysninger. Hvis der er det, kan det tyde på, at der er nog-
le, der prøver at skaffe sig uretmæssig adgang til systemets oplysninger. Boks 4 viser sik-
kerhedsbekendtgørelsens krav om kontrol af afviste adgangsforsøg.
BOKS 4. SIKKERHEDSBEKENDTGØRELSENS KRAV OM KONTROL AF AFVISTE ADGANGS-
FORSØG
Sikkerhedsbekendtgørelsens § 18:
Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode
er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme
arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der
skal løbende ske opfølgning i myndigheden.
Vi har gennemgået institutionernes logfiler. Tabel 4 viser, om institutionerne har registreret
afviste forsøg på at få adgang til systemerne, og om de har ført kontrol med de afviste for-
søg.
Tabel 4. Kontrol af afviste forsøg på at få adgang til de undersøgte systemer
Arbejds-
skade-
styrelsen
Registre-
res afviste
adgangs-
forsøg?
Følges der
op på afviste
adgangsfor-
søg?
Institut for
Menneske-
rettigheder
Danmarks
Statistik
Forsvars-
komman-
doen
Rigspolitiet
SKAT
Social-
styrelsen
Sundheds-
styrelsen
Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
Kilde: Rigsrevisionen.
Det fremgår af tabel 4, at 7 ud af 8 institutioner har registreret afviste forsøg på at få adgang
til de undersøgte systemer. Socialstyrelsen har ikke registreret de afviste forsøg.
PDF to HTML - Convert PDF files to HTML files
1420339_0019.png
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
11
4 ud af de 7 institutioner (Institut for Menneskerettigheder, Danmarks Statistik, Forsvars-
kommandoen og Rigspolitiet), der har registreret afviste forsøg, har regelmæssigt fulgt op
på, om der har været afviste forsøg på at få adgang til de undersøgte systemer. 3 institutio-
ner (Arbejdsskadestyrelsen, SKAT og Sundhedsstyrelsen) har ikke har fulgt op på de afviste
forsøg. Systemerne er dog sat op til, at adgangen låses efter 3-5 forgæves forsøg (afhæn-
gigt af institution).
Institutionernes registrering af medarbejdernes opslag i systemerne
17. Institutionerne skal kunne spore, hvilke medarbejdere der har søgt på oplysningerne i
systemerne. Derfor skal institutionerne registrere medarbejdernes opslag på enkeltpersoner.
Boks 5 viser sikkerhedsbekendtgørelsens krav om registrering af opslag på enkeltpersoner.
BOKS 5. SIKKERHEDSBEKENDTGØRELSENS KRAV OM REGISTRERING AF OPSLAG PÅ
ENKELTPERSONER
Sikkerhedsbekendtgørelsens § 19, stk. 1:
Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Regi-
streringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse
af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal
opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbe-
vare loggen i op til 5 år.
Vi har gennemgået institutionernes logfiler og dokumentation for, at de har registreret med-
arbejdernes opslag på enkeltpersoner. Tabel 5 viser, om institutionerne har registreret med-
arbejdernes opslag på enkeltpersoner i de undersøgte systemer, og om de sletter dem igen.
Tabel 5. Registrering af medarbejdernes opslag på enkeltpersoner i de undersøgte systemer
Arbejds-
skade-
styrelsen
Registreres
medarbej-
dernes op-
slag på en-
keltperso-
ner?
Slettes log-
registrerin-
gerne?
Institut for
Menneske-
rettigheder
Danmarks
Statistik
Forsvars-
komman-
doen
Rigspolitiet
SKAT
Social-
styrelsen
Sundheds-
styrelsen
Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
Kilde: Rigsrevisionen.
Det fremgår af tabel 5, at 6 ud af 8 institutioner har registreret medarbejdernes opslag på
enkeltpersoner, som de skal ifølge sikkerhedsbekendtgørelsen, fx oplysninger om, hvordan
og hvornår medarbejderen har anvendt hvilke oplysninger. Institut for Menneskerettigheder
og Danmarks Statistik har ikke registreret disse oplysninger.
PDF to HTML - Convert PDF files to HTML files
1420339_0020.png
12
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
Ud af de 6 institutioner, der har registreret opslag på enkeltpersoner i en log, er det kun
Arbejdsskadestyrelsen, som har slettet registreringerne efter �½ år, som de skal ifølge sik-
kerhedsbekendtgørelsen, medmindre der er et særligt behov for at forlænge perioden. 5 af
de 6 institutioner har ikke slettet registreringerne igen. Heraf har Rigspolitiet og SKAT udvi-
det perioden for at opbevare registreringerne, men de har ikke slettet registreringerne efter
den udvidede periodes afslutning.
Danmarks Statistik
har en ko-
ordinerende funktion med at
indsamle og bearbejde statisti-
ske oplysninger hos andre of-
fentlige myndigheder. For at
samle den officielle statistik-
produktion i Danmarks Stati-
stik har styrelsen løbende over-
taget ansvaret for statistikker,
der tidligere blev udarbejdet af
andre myndigheder, fx forsk-
nings-, udviklings-, innovations-,
valg-, kirke- og kulturstatistik-
kerne.
18. Én af de institutioner, der ikke har registreret medarbejdernes opslag på enkeltpersoner,
er Danmarks Statistik. Boks 6 viser eksempler på, hvilke personoplysninger Danmarks Sta-
tistik er i besiddelse af.
BOKS 6. DANMARKS STATISTIKS OPLYSNINGER OM PERSONER
Danmarks Statistik er oprettet ved lov og er den centrale danske myndighed, der indsamler, bearbej-
der og offentliggør statistiske oplysninger om samfundsforhold. Danmarks Statistik er i besiddelse af
en række personoplysninger, fx oplysninger om fødsel og adoption, fertilitet, familieoplysninger (hus-
stand, indkomst, skilsmisser mv.), boligforhold, trafikuheld, kriminalitet, domme, fængselsophold, so-
ciale ydelser, folke- og førtidspension, sygehusbenyttelse, lægebesøg, indvandrere og deres efter-
kommere samt asylansøgninger og opholdstilladelser. Registreringen omfatter alle personer i Dan-
mark, inkl. afdøde, tilbage til indførelsen af cpr-nr.
Kilde: Rigsrevisionen på baggrund af tidligere it-revisioner og Danmarks Statistiks hjemmeside.
Rigsrevisionen har ved en tidligere revision i 2011 konstateret, at Danmarks Statistik ikke
umiddelbart registrerede medarbejdernes opslag efter sikkerhedsbekendtgørelsens § 19,
stk. 1. I praksis kunne det betyde, at Danmarks Statistik ikke ville kunne spore, om der var
foretaget et opslag, eller hvem der eventuelt havde foretaget opslaget, i tilfælde af lækkede
fortrolige personoplysninger.
Rigsrevisionen vurderede, at det kunne være meget problematisk, hvis personoplysninger
blev lækket, og Danmarks Statistik ikke efterfølgende kunne redegøre for, om en medarbej-
der var involveret. Ifølge Danmarks Statistik var de imidlertid omfattet af en undtagelsesbe-
stemmelse i sikkerhedsbekendtgørelsen. Rigsrevisionen anbefalede Danmarks Statistik at
forelægge sagen for Datatilsynet.
Rigsrevisionen fremsendte revisionsrapporten til Danmarks Statistik i juni 2011. På et møde
mellem Danmarks Statistik og Datatilsynet blev Datatilsynet gjort bekendt med, at der forelå
en it-revisionsrapport fra Rigsrevisionen, som satte spørgsmålstegn ved, om sikkerhedsbe-
kendtgørelsen var opfyldt. Danmarks Statistik sendte ikke rapporten til Datatilsynet. Rigsrevi-
sionen rykkede i juli 2012 Danmarks Statistik for status i sagen. Danmarks Statistik oplyste,
at sagen var afklaret med Datatilsynet, som ikke havde bemærkninger til Danmarks Stati-
stiks praksis. Rigsrevisionen rettede henvendelse til Datatilsynet i november 2012 for at få
uddybet begrundelsen for Datatilsynets konklusion. Datatilsynet oplyste, at Datatilsynet ikke
havde fået forelagt problemstillingen, som den var omtalt i revisionsrapporten. Datatilsynet
havde derfor ikke taget stilling til, om Danmarks Statistik loggede i overensstemmelse med
sikkerhedsbekendtgørelsens bestemmelse.
 
Danmarks Statistik forelagde herefter sagen for Datatilsynet primo 2013. Datatilsynet har
herefter holdt møde med Danmarks Statistik og har indhentet Danmarks Statistiks udtalelse
i sagen. Datatilsynet har endvidere indhentet oplysninger fra datatilsynene i Norge, Sverige
og Finland, Den Europæiske Tilsynsførende for Databeskyttelse og flere offentlige forsk-
ningsinstitutioner i Danmark.
PDF to HTML - Convert PDF files to HTML files
1420339_0021.png
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
13
Efter behandling af sagen i Datarådet vurderede Datatilsynet i juli 2014, at kravet i sikker-
hedsbekendtgørelsens § 19, stk. 1, om logning gælder for Danmarks Statistik, der således
ikke er omfattet af undtagelsesbestemmelser i sikkerhedsbekendtgørelsen. Efter Datatilsy-
nets opfattelse anses logning for vigtig for at undgå uberettiget brug af persondata – både
præventivt, men også bagudrettet, så det kan spores, hvem der måtte have foretaget et ube-
rettiget opslag. Ifølge Datatilsynet gør det sig også gældende for Danmarks Statistik, hvor
det som følge af institutionens særlige rolle vil være muligt at fremsøge oplysninger – her-
under fortrolige oplysninger – om enhver person i Danmark.
Datatilsynet henstillede, at Danmarks Statistik tog skridt til at indrette sin behandling af per-
sonoplysninger, så sikkerhedsbekendtgørelsens krav blev opfyldt. Datatilsynet og Danmarks
Statistik er fortsat i dialog om sagen.
Institutionernes aftaler med databehandlerne
19. Institutionerne skal som dataansvarlige indgå en skriftlig aftale om sikker behandling af
fortrolige personoplysninger, hvis der er eksterne virksomheder, der behandler oplysningerne
på vegne af institutionen. Boks 7 viser persondatalovens og sikkerhedsbekendtgørelsens
krav om aftaler med databehandlere.
BOKS 7. PERSONDATALOVENS OG SIKKERHEDSBEKENDTGØRELSENS KRAV OM
AFTALER MED DATABEHANDLERE
Persondatalovens § 42:
Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den data-
ansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organi-
satoriske sikkerhedsforanstaltninger, og påse, at dette sker.
Sikkerhedsbekendtgørelsens § 7:
Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges veg-
ne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i bekendtgørelsen ligeledes
gælder for behandlingen ved databehandleren.
Databehandleraftale
Når en dataansvarlig overlader
en behandling af oplysninger til
en databehandler, kræver det,
at der indgås en skriftlig aftale
mellem den dataansvarlige og
databehandleren – en såkaldt
databehandleraftale. Det skal
fremgå af aftalen, at databe-
handleren kun handler efter in-
struks fra den dataansvarlige,
og at databehandleren skal
træffe forskellige tekniske og
organisatoriske sikkerhedsfor-
anstaltninger.
Vi har gennemgået institutionernes aftaler med databehandlerne vedrørende de undersøgte
systemer, revisorerklæringer samt referater fra møder med de eksterne databehandlere. In-
stitut for Menneskerettigheder har egen it-drift og er derfor ikke omfattet af dette punkt.
PDF to HTML - Convert PDF files to HTML files
1420339_0022.png
14
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
Tabel 6 viser, hvilke institutioner der har en skriftlig aftale med databehandlerne om de un-
dersøgte systemer, og om institutionerne følger op på aftalerne.
Tabel 6. Databehandleraftaler om de undersøgte systemer
Arbejds-
skade-
styrelsen
Er der en aftale
med databehand-
leren?
Følges der op på
databehandler-
aftalen?
Danmarks
Statistik
Forsvars-
komman-
doen
Rigspolitiet
SKAT
Social-
styrelsen
Sundheds-
styrelsen
Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
Kilde: Rigsrevisionen.
Det fremgår af tabel 6, at 5 ud af 7 institutioner (Arbejdsskadestyrelsen, Danmarks Statistik,
Forsvarskommandoen, Rigspolitiet og Sundhedsstyrelsen) har indgået en skriftlig aftale med
databehandlerne, der indeholder aftale om organisatoriske og tekniske sikkerhedsforanstalt-
ninger vedrørende behandling af fortrolige personoplysninger.
SKAT og Socialstyrelsen har ikke indgået en skriftlig aftale med databehandlerne. Fraværet
af en sådan aftale betyder, at institutionerne ikke har pålagt databehandleren instruktioner i
forhold til at behandle fortrolige personoplysninger. SKAT har oplyst, at SKAT i juni 2014 har
indgået en aftale med databehandleren.
Institutionen skal følge op på
aftalen med databehandleren.
Hvis institutionen ikke indhen-
ter en specifik revisorerklæring,
skal institutionen selv efterprø-
ve, om databehandlerens sik-
kerhedsforanstaltninger lever
op til de aftalte niveauer.
20. Institutionerne skal følge op på, om de indgåede aftaler overholdes. Institutionerne kan
vælge at lade en ekstern revisor følge op på, om databehandlerne har overholdt de aftalte
sikkerhedsforanstaltninger. I givet fald bør revisorerklæringen udformes, så det specifikt frem-
går, at erklæringen omfatter de fortrolige personoplysninger, som databehandleren behand-
ler for den dataansvarlige.
 
Det er kun Forsvarskommandoen, der har fulgt op på den indgåede aftale, idet institutionen
har indhentet en specifik revisorerklæring, som omfatter fortrolige personoplysninger i det
undersøgte system.
4 ud af de 5 institutioner, der har indgået en aftale med databehandleren, har ikke fulgt op på
aftalen, som de skal ifølge persondataloven. Når en institution ikke følger op på, om aftalen
overholdes, så ved institutionen ikke, hvordan de fortrolige personoplysninger beskyttes,
hvem der læser dem, om de kopieres, eller om de videreføres til andre.
Arbejdsskadestyrelsen og Danmarks Statistik har hverken indhentet en revisorerklæring eller
selv fulgt op på, om databehandlerne har efterlevet de aftalte sikkerhedsforanstaltninger.
Rigspolitiet og Sundhedsstyrelsen har hver indhentet en revisorerklæring, der handler om
institutionernes regnskabsførelse generelt. De indhentede erklæringer er ikke specifikt ret-
tet mod sikkerhedsforanstaltninger i de pågældende systemer og omfatter ikke fortrolige per-
sonoplysninger. Rigsrevisionen finder derfor, at erklæringerne hos Rigspolitiet og Sundheds-
styrelsen ikke kan opfylde persondatalovens krav om opfølgning, da erklæringerne ikke har
til formål at kontrollere, om persondataloven overholdes.
PDF to HTML - Convert PDF files to HTML files
1420339_0023.png
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
15
SKAT og Socialstyrelsen, der på undersøgelsestidspunktet ikke havde indgået en skriftlig
aftale med databehandlerne, har i sagens natur ikke kunnet følge op på aftalens indhold.
Socialstyrelsen har indhentet en generel revisorerklæring, som ikke er specifikt rettet mod
sikkerhedsforanstaltninger i det undersøgte system.
Institutionernes eget tilsyn med sikkerhedsforanstaltninger
21. Institutionerne skal føre tilsyn med, at de sikkerhedsforanstaltninger, som de har fast-
lagt internt i institutionen, rent faktisk efterleves. Boks 8 viser sikkerhedsbekendtgørelsens
krav om institutionernes eget tilsyn med sikkerhedsforanstaltninger.
BOKS 8. SIKKERHEDSBEKENDTGØRELSENS KRAV OM INSTITUTIONERNES EGET TILSYN
MED SIKKERHEDSFORANSTALTNINGER
Sikkerhedsbekendtgørelsens § 5, stk. 1:
Den dataansvarlige myndighed skal fastsætte retningslinjer for myndighedens tilsyn med over-
holdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
Bestemmelsen i sikkerhedsbekendtgørelsen er ikke uddybet, og det er således op til institu-
tionerne at fastlægge det nærmere indhold af tilsynet, dvs. at de skal have taget stilling til,
hvordan kontrollen skal tilrettelægges, fx omfanget og hyppigheden, samt dokumentation
for kontrollen. Vi har gennemgået institutionernes retningslinjer for tilsyn og dokumentation
for, om tilsynet blev udført. Resultatet er vist i tabel 7.
Tabel 7. Institutionernes eget tilsyn med sikkerhedsforanstaltninger
Arbejds-
skade-
styrelsen
Er der ret-
ningslinjer
for tilsyn?
Føres der
tilsyn med
sikkerheds-
foranstalt-
ningerne?
Institut for
Menneske-
rettigheder
Danmarks
Statistik
Forsvars-
komman-
doen
Rigspolitiet
SKAT
Social-
styrelsen
Sundheds-
styrelsen
Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
Kilde: Rigsrevisionen.
Det fremgår af tabel 7, at det kun er Forsvarskommandoen, som har udarbejdet retningslin-
jer for eget tilsyn med at overholde sikkerhedsforanstaltningerne, og som har udført et regel-
mæssigt tilsyn med, at retningslinjerne blev overholdt.
PDF to HTML - Convert PDF files to HTML files
1420339_0024.png
16
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
7 ud af de 8 institutioner har ingen retningslinjer for, hvordan eget tilsyn skal udføres, og in-
stitutionerne har derfor heller ikke kunnet udføre et tilsyn i overensstemmelse med retnings-
linjerne. Vores gennemgang viser dog, at SKAT og Sundhedsstyrelsen har udført en delvis
kontrol af sikkerhedsforanstaltningerne. SKAT udfører bl.a. intern revision af udvalgte sik-
kerhedsforanstaltninger. Sundhedsstyrelsen har udført en kontrol af udvalgte punkter i sik-
kerhedsbekendtgørelsen i forbindelse med styrelsens akkrediteringsordning.
Resultater
22. Undersøgelsen viser, at ingen af de undersøgte institutioner inden for det seneste år har
gennemgået og vurderet deres retningslinjer for sikkerhedsforanstaltninger. Da der ofte fore-
kommer tekniske og organisatoriske ændringer, medfører den manglende opdatering, at sik-
kerheden kan være utilstrækkelig, da retningslinjerne ikke nødvendigvis afspejler de faktiske
forhold i institutionen.
6 af de undersøgte institutioner har ikke sikret, at medarbejdernes adgange er opdaterede.
Det betyder, at en medarbejders adgang til fortrolige personoplysninger ikke nødvendigvis
bliver lukket, hvis medarbejderen skifter arbejdsområde og ikke længere har brug for adgan-
gen. Dermed er der ikke sikkerhed for, at det kun er personer med et arbejdsbetinget behov,
som har adgang til fortrolige oplysninger om personer.
Socialstyrelsen har ikke registreret afviste adgangsforsøg i det undersøgte system.
Institut for Menneskerettigheder og Danmarks Statistik har ikke registreret medarbejdernes
opslag på enkeltpersoner og kan således ikke spore, hvilken medarbejder der i givet fald
uberettiget har læst de fortrolige personoplysninger. Rigsrevisionen konstaterede allerede i
2011, at Danmarks Statistik ikke umiddelbart registrerede medarbejdernes opslag efter sik-
kerhedsbekendtgørelsens bestemmelser. Datatilsynet vurderede i juli 2014, at kravet om at
logge gælder for Danmarks Statistik. Datatilsynet henstillede, at Danmarks Statistik tog skridt
til at indrette sin behandling af personoplysninger, så sikkerhedsbekendtgørelsens krav blev
opfyldt. Datatilsynet og Danmarks Statistik er fortsat i dialog om sagen. Rigsrevisionen finder
det ikke tilfredsstillende, at Danmarks Statistik ikke har sørget for, at så vigtig en sag blev
afklaret hurtigere.
5 ud af de 6 undersøgte institutioner, der registrerer opslag på enkeltpersoner, har ikke slet-
tet registreringerne igen efter en nærmere fastsat periode, som sikkerhedsbekendtgørelsen
foreskriver.
SKAT og Socialstyrelsen har overladt behandlingen af fortrolige personoplysninger til eks-
terne databehandlere uden at indgå en aftale om sikkerhedsniveauet hos databehandleren,
som de skal ifølge sikkerhedsbekendtgørelsen.
7 ud af de 8 undersøgte institutioner har ikke tilrettelagt og udført et tilsyn med, at sikker-
hedsforanstaltningerne bliver overholdt.
Samlet set er der ingen af de undersøgte institutioner, der efterlever alle de krav til behand-
ling af fortrolige personoplysninger, som fremgår af sikkerhedsbekendtgørelsen, og som er
en uddybning af persondatalovens bestemmelser. Danmarks Statistik, Rigspolitiet og SKAT,
der er vant til at håndtere store mængder fortrolige personoplysninger, efterlever på flere
punkter ikke de krav, som fremgår af sikkerhedsbekendtgørelsen. Forsvarskommandoen er
den af de undersøgte institutioner, der bedst beskytter de fortrolige oplysninger.
PDF to HTML - Convert PDF files to HTML files
1420339_0025.png
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
17
Datatilsynets tilsyn med statslige institutioner
23. Datatilsynet fører som en af sine opgaver tilsyn med, at offentlige myndigheder og private
virksomheder behandler fortrolige oplysninger om personer i overensstemmelse med per-
sondataloven og regler udstedt i medfør af loven. Datatilsynet er finanslovsmæssigt og per-
sonalemæssigt tilknyttet Justitsministeriet, men udøver sine funktioner i fuld uafhængighed.
Der er i alt 175 statslige institutioner at føre tilsyn med. Det er Rigsrevisionens erfaring, at de
fleste statslige institutioner har en berøringsflade til persondataloven – enten som dataan-
svarlig eller som databehandler. Datatilsynet fører tilsyn med, at persondatalovens regler
overholdes. Datatilsynet udfører tilsynet ved at tage på inspektioner, behandle klager og ta-
ge sager op af egen drift. Datatilsynet behandler endvidere anmeldelser fra statslige institu-
tioner, som gerne vil behandle fortrolige oplysninger om personer. Datatilsynet behandler
konkrete klager fra borgere, yder rådgivning og vejledning og udtaler sig i forbindelse med
høringer af love, bekendtgørelser mv.
Datatilsynets tilsyn med institutioners behandling af personoplysninger har karakter af et
legalitetstilsyn, jf. svar på spørgsmål nr. 957 til Folketingets Retsudvalg af 6. januar 2014.
Det betyder, at Datatilsynet har fokus på, at behandlingen af personoplysninger er i over-
ensstemmelse med reglerne i persondataloven og eventuelt anden relevant lovgivning, og
at reglerne om registreredes rettigheder overholdes. I forhold til datasikkerhed stiller Data-
tilsynet spørgsmål inden for de emner, som fremgår af sikkerhedsbekendtgørelsen. Det kan
vedrøre institutionernes uddybende sikkerhedsregler eller mere specifikke sikkerhedsforan-
staltninger. Datatilsynet foretager ikke en mere omfattende it-revision eller en fuldstændig
gennemgang af de etablerede sikkerhedsforanstaltninger.
Som led i Datatilsynets inspektionsstrategi for 2013-2015 har Datatilsynet udvalgt 6 katego-
rier, hvor der er særligt behov for regelmæssigt tilsyn. Inspektionerne vil primært ske inden
for disse kategorier, men valget udelukker ikke, at Datatilsynet også kan inspicere andre in-
stitutioner og virksomheder. De 6 kategorier er lokale politiembeder og Rigspolitiet, kommu-
ner, sygehuse og sundhedsdatabaser, kreditoplysningsbureauer og advarselsregistre, pri-
vat og offentlig forskning samt tv-overvågning.
Det fremgår af svar på spørgsmål nr. 957 til Folketingets Retsudvalg af 6. januar 2014, at
Datatilsynet bl.a. har gennemført ca. 160 inspektioner i statslige institutioner siden 2000.
Det fremgår af Datatilsynets oversigt over udførte inspektioner i 2013, at Datatilsynet i 2013
udførte 7 inspektioner i statslige institutioner. Det fremgår endvidere af svar på spørgsmål
nr. 361 til Folketingets Retsudvalg af 18. marts 2014, at der ud fra Datatilsynets skøn er
brugt ca. 2 årsværk pr. år på inspektionsbesøg og andre inspektioner.
Datatilsynet har på Rigsrevisionens forespørgsel oplyst, at Datatilsynet ikke har udført in-
spektioner vedrørende de 8 undersøgte systemer de seneste 3 år.
2.2. Institutionernes beskyttelse af fortrolige oplysninger om virksomheder
24. Dette afsnit handler om, hvordan de statslige institutioner har beskyttet de fortrolige op-
lysninger om virksomheder, der indgår i de undersøgte systemer.
Der findes ikke en tilsvarende lov, der beskytter fortrolige oplysninger om private virksom-
heder, som det gør sig gældende for fortrolige personoplysninger, men krav til beskyttelse
af oplysninger kan i nogle tilfælde være omfattet af særlovgivning. Det betyder ikke, at for-
trolige oplysninger om virksomheder ikke bør beskyttes.
PDF to HTML - Convert PDF files to HTML files
1420339_0026.png
18
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
Private virksomheder har ikke noget valg i forhold til, om de vil aflevere oplysninger til stats-
lige institutioner, da indsamlingen sker som led i en myndighedsopgave. Ofte er oplysnin-
gerne væsentlige for virksomhedens konkurrencesituation og måske endda for virksomhe-
dens fortsatte overlevelse. Derfor har virksomhederne en rimelig forventning om, at de stats-
lige institutioner beskytter de indsamlede oplysninger tilstrækkeligt.
Statslige institutioner har fra januar 2014 skullet tilrettelægge deres styring af informations-
sikkerheden efter sikkerhedsstandarden ISO 27001 som erstatning for sikkerhedsstandar-
den DS 484. Institutionerne skal etablere sikkerhedsforanstaltninger vedrørende private virk-
somheders fortrolige oplysninger på en måde, som er tilstrækkelig og dækkende i forhold
til oplysningernes følsomhed og betydning. Der er stort sammenfald mellem kravene i per-
sondataloven og bedste praksis for beskyttelse af visse virksomhedsoplysninger i standar-
derne.
25. Vi har gennemgået 3 systemer, der indeholder fortrolige oplysninger om virksomheder.
Vi har undersøgt institutionernes praksis ud fra kriterier i informationssikkerhedsstandarden
ISO 27001. Resultaterne er vist i tabel 8.
Tabel 8. Institutionernes beskyttelse af fortrolige oplysninger om virksomheder i de undersøgte systemer
SKAT
Er der opdaterede retningslinjer på de undersøgte
områder?
Er der godkendte brugeradgange?
Vurderes brugeradgange løbende med afsæt i
arbejdsbetingede behov?
Registreres medarbejdernes opslag og ændringer
i data?
Er der en aftale med databehandleren?
Følges der op på aftalen med databehandleren?
Er der en opdateret risikovurdering?
Socialstyrelsen
Sundhedsstyrelsen


1)




Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
1)
Socialstyrelsen modtager en revisorerklæring.
Kilde: Rigsrevisionen.
Det fremgår af tabel 8, at ingen af de 3 institutioner har opdaterede retningslinjer på de un-
dersøgte områder. Det skyldes, at ingen af de interne retningslinjer var blevet opdateret in-
den for det seneste år. Rigsrevisionen anser det for god praksis, at institutionerne årligt op-
daterer deres retningslinjer for at sikre fortrolige virksomhedsoplysninger.
Alle 3 institutioner har fulgt en procedure for at oprette brugere, som sikrer, at det kun er de
brugere, som har et arbejdsbetinget behov til systemet, der får adgang til fortrolige virksom-
hedsoplysninger. Ingen af institutionerne har dog gennemgået rettighederne med et passen-
de interval. Det betyder, at der er risiko for, at medarbejdere, som én gang har fået en ret-
tighed, ikke fratages den igen, når det arbejdsbetingede behov eventuelt ophører.
Medarbejdernes opslag og ændringer i oplysninger registreres i tilstrækkeligt omfang i alle
3 systemer.
PDF to HTML - Convert PDF files to HTML files
1420339_0027.png
INSTITUTIONERNES BESKYTTELSE AF FORTROLIGE OPLYSNINGER
19
Kun Sundhedsstyrelsen har indgået en aftale med databehandleren om sikkerhed mv., selv
om alle 3 institutioner benytter en databehandler. Sundhedsstyrelsen følger også op på af-
talen ved at indhente en revisorerklæring. Socialstyrelsen modtager en revisorerklæring, selv
om styrelsen ikke har en aftale om sikkerhedsniveau mv. SKAT har efterfølgende oplyst, at
SKAT har indgået en aftale med databehandleren.
Socialstyrelsen og Sundhedsstyrelsen har ikke en opdateret risikovurdering for de undersøg-
te systemer. En risikoanalyse er et centralt redskab, når institutionen skal vurdere, hvilket
sikkerhedsniveau institutionen skal etablere i forhold til et it-system.
Resultater
26. Undersøgelsen viser, at ingen af institutionerne kontrollerer, om medarbejdernes adgan-
ge til de undersøgte systemer stadig er relevante for at kunne løse deres arbejdsopgaver.
Kun Sundhedsstyrelsen har indgået en aftale med den eksterne databehandler om sikker
behandling af fortrolige virksomhedsoplysninger. Socialstyrelsen og Sundhedsstyrelsen har
ikke en opdateret risikoanalyse.
Det er Rigsrevisionens vurdering, at de undersøgte institutioner ikke i tilstrækkeligt omfang
beskytter fortrolige oplysninger om virksomheder. Alle 3 institutioner bør derfor forbedre sik-
kerheden omkring de fortrolige oplysninger, som de behandler om private virksomheder.
Rigsrevisionen, den 5. november 2014
Lone Strøm
/Peder Juhl Madsen
PDF to HTML - Convert PDF files to HTML files
1420339_0028.png
20
METODE
Bilag 1. Metode
Udvælgelse af institutioner og systemer
Undersøgelsen er baseret på it-revisioner udført som led i årsrevisionen. I forbindelse med
årsrevisionen udvælger vi primært it-systemer til revision efter væsentlighed og risiko. Vi prio-
riterer også at udvælge mindre it-systemer for at kunne vurdere systemerne bredt. Vi har der-
for udvalgt både små og store institutioner, der behandler fortrolige person- og virksomheds-
oplysninger i it-systemer. Vi har også udvalgt it-systemer, der både har få og mange brugere
af systemerne, og it-systemer, der har registreret få og mange personer/virksomheder.
Undersøgelsen omfatter 8 statslige institutioner, som er udvalgt, fordi de alle behandler for-
trolige oplysninger om personer og/eller virksomheder. Vi har undersøgt 8 systemer, som
indeholder fortrolige oplysninger om personer, og 3 systemer, som indeholder fortrolige op-
lysninger om virksomheder.
Undersøgelsens revisionskriterier
Undersøgelsens revisionskriterier er baseret på persondataloven og sikkerhedsbekendtgø-
relsen for så vidt angår institutionernes beskyttelse af fortrolige personoplysninger. Da der
ikke eksisterer lovgivning for at beskytte fortrolige oplysninger om virksomheder, har vi ba-
seret vores revisionskriterier på informationssikkerhedsstandarden ISO 27001, som de stats-
lige institutioner har skullet følge siden januar 2014 som erstatning for informationssikker-
hedsstandarden DS 484. Rigsrevisionen kunne dog konstatere, at flere virksomheder endnu
ikke havde tilrettelagt styringen af informationssikkerheden efter ISO 27001, men at de var
i en overgangsperiode. Det er Rigsrevisionens vurdering, at det praktiske sikkerhedsarbejde
med de 2 standarder næsten er identisk for så vidt angår beskyttelsen af fortrolige oplysnin-
ger. Vi har derfor holdt institutionerne op imod den af de 2 sikkerhedsstandarder, som insti-
tutionerne selv har oplyst, at de fulgte og styrede informationssikkerheden efter.
Indsamling af materiale
Undersøgelsen er baseret på skriftligt materiale, som er indhentet fra de 8 institutioner. Det
drejer sig bl.a. om informationssikkerhedspolitikker, retningslinjer for beskyttelse af oplysnin-
ger, oversigter over systemer med oplysninger om personer og virksomheder, databehand-
leraftaler samt serviceaftaler med it-driftsleverandørerne. Ved gennemgangen af materialet
har vi ved tilfældig udvælgelse stikprøvevist efterprøvet den modtagne information. Vi har
endvidere besøgt de 8 institutioner.
Undersøgelsens forløb og resultater
It-revisionen er udført fra januar 2014, hvor vi anmeldte undersøgelsen til institutionerne, til
maj 2014, hvor vi sendte revisionsrapporter ud. Det betyder, at vi har undersøgt institutioner-
nes praksis i denne periode. It-revisionen omfattede flere områder end dem, der er afrappor-
teret i beretningen. Vi har revideret institutionernes behandling af fortrolige oplysninger ud
fra 60 revisionskriterier, som blev opstillet på baggrund af persondataloven, sikkerhedsbe-
kendtgørelsen, informationssikkerhedsstandarden ISO 27001 og god praksis på området.
Vi har i beretningen valgt at afrapportere de væsentligste revisionsresultater, som omfatter
11 revisionskriterier fra sikkerhedsbekendtgørelsen og 7 revisionskriterier fra ISO 27001.
Institutionerne har endvidere haft et udkast til beretning i høring.
Vores vurdering af institutionernes praksis på området fremgår af de enkelte tabeller. Vi har
vurderet, at det ikke er tilfredsstillende, hvis fx en institution enten ikke har udarbejdet ret-
ningslinjer for at sikre fortrolige personoplysninger, eller retningslinjerne er meget mangel-
fulde. Omvendt har vi vurderet, at det er tilfredsstillende, hvis en institution fx har udarbej-
det retningslinjer for at sikre fortrolige personoplysninger, også selv om der er mindre mang-
ler i retningslinjerne. De røde, gule og grønne cirkler i tabellerne udtrykker dermed Rigsre-
visionens vurdering af institutionernes forvaltning, hvorimod man ikke direkte kan udlede,
om en rød cirkel fx indebærer, om retningslinjerne helt mangler, eller om retningslinjerne
findes, men at de er meget mangelfulde.
PDF to HTML - Convert PDF files to HTML files
1420339_0029.png
METODE
21
Undersøgelsens resultater underbygges af erfaringer fra tidligere it-revisioner, jf. beretning
til Statsrevisorerne om revisionen af statsregnskabet for 2011 (afsnit III.C, s. 32-37, og afsnit
III.D, s. 37-45) og beretning til Statsrevisorerne om revisionen af statsregnskabet for 2012
(pkt. 37 og pkt. 262).
Datatilsynet har endvidere oplyst, at de løbende behandler sager om sikkerhedsbrister hos
institutioner og virksomheder, og Datatilsynet har over de seneste 5-6 år konstateret en stig-
ning i antallet af sager om dette.
PDF to HTML - Convert PDF files to HTML files
1420339_0030.png
22
UNDERSØGELSENS RESULTATER OG INSTITUTIONERNES FREMADRETTEDE INITIATIVER
Bilag 2. Undersøgelsens resultater og institutionernes fremadrettede initiativer
Undersøgelsens resultater
Dette bilag indeholder en oversigt over undersøgelsens samlede resultater i forhold til, om
institutionerne har efterlevet sikkerhedsbekendtgørelsens bestemmelser om fortrolige per-
sonoplysninger. Resultaterne gælder for de undersøgte it-systemer og for de udvalgte punk-
ter i sikkerhedsbekendtgørelsen, som vi har undersøgt.
Undersøgelsens samlede resultater vedrørende institutionernes efterlevelse af sikkerhedsbekendtgørelsen
Arbejds-
skade-
styrelsen
Er der retnings-
linjer for at sikre
personoplysnin-
ger?
Er retningslin-
jerne opdateret
årligt?
Kontrolleres bru-
geradgange halv-
årligt?
Registreres afvi-
ste adgangsfor-
søg?
Følges der op på
afviste adgangs-
forsøg?
Registreres med-
arbejdernes op-
slag på enkelt-
personer?
Slettes logregi-
streringerne?
Er der en aftale
med databe-
handleren?
Følges der op på
databehandler-
aftalen?
Er der retnings-
linjer for tilsyn?
Føres der tilsyn
med sikkerheds-
foranstaltnin-
gerne?
Antal undersøg-
te punkter, der
ikke er tilfreds-
stillende
IR
Institut for
Menneske-
rettigheder
Danmarks
Statistik
Forsvars-
komman-
doen
Rigspolitiet
SKAT
Social-
styrelsen
Sundheds-
styrelsen
IR
IR
5
7
6
2
6
6
9
5
Ikke tilfredsstillende, da der forekommer væsentlige mangler.
Delvist tilfredsstillende.
Tilfredsstillende, men mindre mangler kan forekomme.
Ikke relevant.
Kilde: Rigsrevisionen.
PDF to HTML - Convert PDF files to HTML files
1420339_0031.png
UNDERSØGELSENS RESULTATER OG INSTITUTIONERNES FREMADRETTEDE INITIATIVER
23
Institutionernes fremadrettede initiativer
Det fremgår af høringssvarene, at flere af de undersøgte institutioner har planlagt initiativer
eller allerede har iværksat tiltag for at rette op på de kritikpunkter, som Rigsrevisionen har på-
peget. De positive tilkendegivelser fremgår ikke af beretningen, fordi de fremadrettede initia-
tiver endnu ikke er implementeret, og fordi vi ikke har efterprøvet, om de allerede iværksatte
tiltag fungerer tilfredsstillende. Nedenstående oversigt viser institutionernes fremadrettede
initiativer.
Institutionernes fremadrettede initiativer
Resultater i beretningen
Retningslinjerne er ikke opdateret
årligt
Brugeradgange kontrolleres ikke
halvårligt
Tilkendegivelser i høringssvaret
Forsvarskommandoen har tilkendegivet, at retningslinjerne vil blive ajourført inden ud-
gangen af 2014. SKAT har tilkendegivet, at nye retningslinjer vil foreligge ultimo sep-
tember 2014.
Rigspolitiet har tilkendegivet, at en ny løsning muliggør en halvårlig kontrol. Socialsty-
relsen har tilkendegivet, at en halvårlig kontrol af brugerrettigheder på alle kritiske sy-
stemer blev besluttet i maj 2014. SKAT har oplyst, at Skatteministeriets Interne Revi-
sions evaluering fra marts 2013 viste, at kontrollen af brugeradgange ikke var tilstræk-
kelig. SKAT igangsatte ved årsskiftet 2013/14 et arbejde med at forbedre kontrollen,
som forventes afsluttet inden udgangen af 2014.
Socialstyrelsen undersøger muligheden for at indføre registrering af afviste adgangs-
forsøg.
Forsvarskommandoen og SKAT tilkendegiver, at en praksis indføres, så logregistre-
ringer slettes halvårligt.
SKAT har oplyst, at der i juni 2014 blev indgået en aftale med databehandleren. So-
cialstyrelsen har oplyst, at arbejdet med at udfærdige databehandleraftaler er iværk-
sat.
Rigspolitiet har oplyst, at der fremadrettet vil blive indhentet en revisorerklæring om de
tekniske og organisatoriske sikkerhedsforanstaltninger. Danmarks Statistik har oplyst,
at de nu vil følge regelmæssigt op på, om sikkerhedsforanstaltningerne efterleves hos
databehandleren.
SKAT har oplyst, at de nye retningslinjer for tilsyn forventes at ligge klar ultimo sep-
tember 2014. SKAT vil vurdere omfang af og struktur på tilsynet. Socialstyrelsen har
oplyst, at de har udarbejdet nye retningslinjer for tilsyn, og at de er i gang med at im-
plementere dem.
Afviste adgangsforsøg registreres
ikke
Logregistreringer slettes ikke
Der mangler en aftale med data-
behandleren
Der følges ikke op på databehand-
leraftalen
Der mangler retningslinjer for tilsyn
Kilde: Rigsrevisionen på baggrund af oplysninger fra de undersøgte institutioner.
PDF to HTML - Convert PDF files to HTML files
1420339_0032.png
24
ORDLISTE
Bilag 3. Ordliste
Adgangsstyring
Behandling af oplysninger
Adgangsstyring handler om krav til administration, begrænsning og kontrol af adgangen til
institutionens informationer, medarbejdernes brug af mobilt udstyr og fjernarbejdspladser.
Behandling af oplysninger dækker bl.a. over indsamling, registrering, systematisering,
opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved trans-
mission, formidling eller enhver anden overladelse, sammenstilling eller samkøring samt
blokering, sletning eller tilintetgørelse.
En fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet
organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpe-
midler der må foretages behandling af oplysninger. Den dataansvarlige kan overlade det
til en anden at udføre selve den praktiske behandling af personoplysninger på den data-
ansvarliges vegne.
En fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet
organ, der behandler oplysninger på den dataansvarliges vegne.
Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, kræ-
ver det, at der indgås en skriftlig aftale mellem den dataansvarlige og databehandleren
– en såkaldt databehandleraftale. Det skal fremgå af aftalen, at databehandleren kun
handler efter instruks fra den dataansvarlige, og at databehandleren skal træffe forskel-
lige tekniske og organisatoriske sikkerhedsforanstaltninger.
Omsætning af fx data, lyd og billeder til digital form samt udbredelse af elektroniske me-
dier og computerbaserede forretningsgange.
Informationssikkerhedsstandarder. DS 484 er en dansk standard, mens ISO 27001 er
internationalt anerkendt. Der er forskel på sikkerhedsstandarderne, men for dem begge
gælder det, at efterlevelse af standarden er en metode til at sikre virksomhedernes infor-
mationer.
Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om
oplysningen er af en sådan karakter, at den efter den almindelige opfattelse i samfundet
bør kunne forlanges unddraget offentlighedens kendskab.
Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk over-
bevisning, fagforeningsmæssige tilhørsforhold, helbredsforhold, seksuelle forhold, straf-
bare forhold og væsentlige sociale problemer (som er nævnt i lov om behandling af per-
sonoplysninger § 7, stk. 1, og § 8, stk. 1) vil utvivlsomt være fortrolige oplysninger. Det
samme gælder oplysninger om interne familieforhold, fx stridigheder, og oplysninger om
selvmordsforsøg og ulykkestilfælde. Herudover vil fx oplysninger om indtægts- og formue-
forhold samt arbejds-, uddannelses- og ansættelsesmæssige forhold efter omstændig-
hederne også være fortrolige.
Oplysninger, jf. persondatalovens §§ 7 og 8, kaldes også for følsomme personoplys-
ninger.
En institution skal være tilstrækkeligt sikret mod eksterne trusler med alarmer, adgangs-
kontrol og beskyttelse af informationsaktiverne. Institutionens informationsaktiver skal
være sikret mod fx oversvømmelse, kabelnedbrud og brand.
At registrere de autoriserede brugeres anvendelser.
Enhver form for information om en identificeret eller identificerbar fysisk person (den regi-
strerede). Ved identificerbar person skal forstås en person, der direkte eller indirekte kan
identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er sær-
lige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller so-
ciale identitet, fx en adresse.
Dataansvarlig
Databehandler
Databehandleraftale
Digitalisering
DS 484 og ISO 27001
Fortrolige oplysninger
Fysisk sikkerhed
Logge
Personoplysninger
PDF to HTML - Convert PDF files to HTML files
1420339_0033.png
ORDLISTE
25
Risikovurdering
Ved risikovurdering vurderer institutionen, hvilke systemer der er forretningskritiske, og
som virksomheden skal beskytte med konkrete sikkerhedsforanstaltninger. En risikovur-
dering tager udgangspunkt i institutionens forretningsmæssige forhold, trusselsbilledet,
sårbarheden og konsekvenserne for institutionen, hvis et uheld skulle ske.
Betegner i denne beretning en praksis eller tiltag, der forbedrer it-sikkerheden, dvs. be-
stræbelser, som tages i anvendelse for at modvirke fejl, tab og misbrug af oplysninger
og sikre tilgængeligheden til it-systemer og oplysninger.
Rigsrevisionens årsrevision består af løbende revision af bl.a. forretningsgange og inter-
ne kontroller, herunder it-revision og afsluttende revision af bl.a. årsregnskabet. Resul-
tatet af den løbende revision afrapporteres normalt til den pågældende institution og det
tilhørende ministerium.
Sikkerhedsforanstaltninger
Årsrevision