REU, Alm.del - 2014-15 (1. samling) - Endeligt svar på spørgsmål 25: Spm. om, hvilke udliciterede offentlige registre, der ikke er udstyret med en såkaldt log-funktion, til finansministeren

Retsudvalget 2014-15 (1. samling)
REU Alm.del
Offentligt

Folketingets Retsudvalg

Christiansborg

Finansministeren

19. december 2014

Svar på Retsudvalgets spørgsmål nr. 25 (Alm. del.) af 13. oktober

2014 stillet efter ønske fra Pernille Skipper (EL)

Spørgsmål

Under henvisning til artiklen "Ingen vished om dine persondata" i Politiken d.

12. oktober 2014 bedes ministeren redegøre for, hvilke udliciterede offentlige

registre, der ikke er udstyret med en såkaldt log-funktion, samt i hvilke kontrakter

om varetagelse af offentlige it-opgaver, dette er et krav, og i hvilke det ikke er.

Svar

Persondataloven, der bl.a. gælder for behandling af personoplysninger, som helt

eller delvis foretages ved hjælp af elektronisk databehandling, indeholder regler

om behandlingssikkerhed, som er uddybet i den såkaldte

sikkerhedsbekendtgørelse. Det følger af sikkerhedsbekendtgørelsens § 19, at der

som udgangspunkt skal foretages logning af alle anvendelser af personoplysninger.

Reglen i § 19 finder alene anvendelse i forhold til behandling af

personoplysninger, som skal anmeldes til Datatilsynet efter reglerne i

persondatalovens kapitel 12 (f.eks. behandling af følsomme personoplysninger

omfattet af lovens §§ 7 og 8).

Såfremt en offentlig myndighed har outsourcet behandling af personoplysninger

til en ekstern leverandør, og behandlingen skal anmeldes til Datatilsynet, vil den

dataansvarlige være forpligtet til at sikre, at leverandøren overholder

sikkerhedsbekendtgørelsens § 19.

For yderligere oplysninger om persondatalovens regler henvises til

justitsministeren.

Jeg er ikke umiddelbart bekendt med, hvilke udliciterede offentlige registre der har

eller ikke har en log-funktion. Der findes et stort antal registre fordelt på

ministerier, styrelser, kommuner, regioner m.fl., og det vil være en meget

omfattende opgave at vedligeholde en oversigt over alle disse registre, og hvorvidt

disse har en log-funktion. Der foreligger således ikke en samlet liste over registre.

Regeringen er optaget af at styrke den sikkerhedsmæssige styring af eksterne

leverandører. I regeringens nyligt lancerede strategi for cyber- og

informationssikkerhed er der netop to initiativer, som skal forbedre den

sikkerhedsmæssige styring af eksterne leverandører. Det ene initiativ indebærer, at

Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K · T 33 92 33 33 · E [email protected] · www.fm.dk

REU, Alm.del - 2014-15 (1. samling) - Endeligt svar på spørgsmål 25: Spm. om, hvilke udliciterede offentlige registre, der ikke er udstyret med en såkaldt log-funktion, til finansministeren

Side 2 af 2

myndighederne skal arbejde mere systematisk med sikkerhedsmæssige krav i

udbud og ved indgåelse af kontrakter på it-området. Det andet indebærer, at

myndighederne skal foretage en løbende opfølgning på den sikkerhedsmæssige

leverandørstyring.

Med venlig hilsen

Bjarne Corydon