Socialudvalget 2014-15 (1. samling)
SOU Alm.del
Offentligt
1432257_0001.png
Folketingets Socialudvalg
Dato: 9. december 2014
”Vil ministeren oplyse, hvilke retningslinjer Udbetaling Danmark har for medar-
bejdere, som gives adgang til personfølsomme oplysninger, samt hvilke ret-
ningslinjer, der eksisterer for medarbejdernes anvendelse af stikprøvekontroller,
og som dermed kan afdække medarbejdernes anvendelse af IT-systemer.”
Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold har til brug for
besvarelsen indhentet en udtalelse fra Udbetaling Danmark, der har oplyst føl-
gende:
”Udbetaling Danmarks opgaver varetages med administrativ og teknisk bistand
fra Arbejdsmarkedets Tillægspension (ATP). De nærmere rammer og vilkår for
ATP’s levering af ydelser til Udbetaling Danmark er fastlagt i en administrations-
aftale mellem ATP og Udbetaling Danmark. Aftalen er godkendt af bestyrelsen
for Udbetaling Danmark.
Det fremgår af administrationsaftalen, at ATP’s behandling af oplysninger finder
sted i henhold til de til enhver tid gældende sikkerhedsregler for ATP’s behand-
ling af egne data, pt. Politik for Informationssikkerhed i Arbejdsmarkedets Til-
lægspension.
Det følger af persondataloven og den i medfør heraf udstedte bekendtgørelse nr.
528 af 15. juni 2000 om sikringsforanstaltninger til beskyttelse af personoplys-
ninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørel-
 PDF to HTML - Convert PDF files to HTML files
2
sen), at der kun må tildeles adgange til personoplysninger for de personer, som
skal benytte dem i deres arbejde.
ATP tildeler i overensstemmelse hermed adgange ud fra et arbejdsrelateret prin-
cip, således at medarbejderne kun kan tilgå data, der er relevante for deres ar-
bejdssituation, såkaldt funktionsbestemte adgange.
ATP Koncernen, som blandt andet leverer administrativ og teknisk bistand til
Udbetaling Danmarks sagsområder, tilstræber en lav risikoprofil på alle områder
og således også i forhold til behandlingen af personoplysninger, hvor koncernen
konkret har implementeret en række tiltag for at imødekomme persondatalovens
krav om at sikre fornødne tekniske og organisatoriske sikkerhedsforanstaltnin-
ger.
Alle ATP Koncernens medarbejdere - herunder medarbejdere, der betjener Udbe-
taling Danmark - har i deres ansættelsesbevis/-kontrakt forpligtet sig til at følge
ATP Koncernens retningslinjer og i den forbindelse er det særligt fremhævet, at
medarbejderen har pligt til følge en særlig vejledning om IT-sikkerhed.
ATP’s bestyrelse har vedtaget en informationssikkerhedspolitik for ATP Koncer-
nen, som beskriver den overordnede informationssikkerhed og organisering.
Informationssikkerhedspolitikken skaber - sammen med en løbende risikovurde-
ring - grundlaget for sikker anvendelse af informationsteknologi i ATP Koncer-
nen.
Informationssikkerhedspolitikken skaber rammerne for udarbejdelse og imple-
mentering af en operationel informationssikkerhedspolitik, der udmøntes i etab-
leringen af fastsatte regler og procedurer for bl.a. ATP Koncernens behandling af
personoplysninger.
I henhold til Informationssikkerhedspolitikken har ATP’s direktør ansvaret for
informationssikkerhedsområdet i ATP Koncernen. I henhold til Informationssik-
kerhedspolitikken har ATP’s direktør nedsat et Sikringsudvalg og udpeget udval-
gets formand, der refererer direkte til ATP’s direktør, og som over for direktøren
har det overordnede ansvar for den fysiske og logiske sikkerhed i og omkring
ATP’s systemer og øvrige værdier. Udvalgets formand er ATP’s chefjurist.
Sikringsudvalget er uafhængigt i forhold til den øvrige organisation i sikrings-
spørgsmål. Udvalget har ansvaret for, at der udarbejdes regler for sikkerhedsar-
bejdet, og udvalget træffer afgørelse om fortolkningsmæssige spørgsmål i rela-
tion til opstillede regler.
Direktøren har i henhold til Informationssikkerhedspolitikken udpeget en Sikker-
hedschef, der under ansvar over for Sikringsudvalget etablerer og vedligeholder
de sikkerhedsmæssige rammer for ATP’s anvendelse af informationsteknologi,
herunder udbredelse af nødvendig information til alle medarbejdere samt op-
følgning på overholdelse af procedurer og retningslinjer.
 PDF to HTML - Convert PDF files to HTML files
3
Sikkerhedschefen er særlig ansvarlig i forhold til godkendelse af adgange til hø-
jeste dataklassifikation, koordinering af sikkerhedsadministrationen og risiko-
vurdering af de sikkerhedsmæssige foranstaltninger.
Det daglige ansvar for overholdelse af sikkerhedsreglerne og for fastlæggelse af
detailregler påhviler ledelsen.
Sikringsudvalget har vedtaget retningslinjerne ”Overholdelse af relevant lovgiv-
ning”, der uddyber og fastlægger de lokale krav til ATP’s sikringsforanstaltnin-
ger, herunder i forhold til persondataloven samt sikkerhedsbekendtgørelsen.
Endvidere har Sikringsudvalget udarbejdet generel vejledning om IT-sikkerhed
”Hvad skal jeg vide om sikkerhed”, som gengiver hovedprincipperne for ATP’s
håndtering af informationssikkerhed.
Informationssikkerhedspolitikken, retningslinjerne for overholdelse af relevant
lovgivning samt den generelle vejledning om IT-sikkerhed fremlægges.
Hertil kommer, at Sikkerhedschefen periodevis gennemfører informationsaktivi-
teter rettet direkte til medarbejderne med særlig fokus på Informationssikkerhe-
den. Det kan i den forbindelse nævnes, at der i forbindelse med etableringen af
Udbetaling Danmark, har været gennemført et uddannelsesforløb for samtlige
medarbejdere, der er virksomhedsoverdraget til ATP og som skal arbejde med
Udbetaling Danmarks sagsområder, der bl.a. indeholdt et modul omkring lovgiv-
ning, herunder persondataloven.
Intern revision i ATP foretager en årlig gennemgang af området for rolle og ret-
tigheder, hvor der både er revision af de konkrete rollers adgangsgivende ind-
hold, men også om dokumentationen er tilstrækkelig samt om opfølgningen på
adgange, fungerer i praksis.
Endelig foretages en tværgående kontrol af alle tildelte roller på tværs af ATP
Koncernen.
Det følger af persondataloven og sikkerhedsbekendtgørelsen, at der skal foreta-
ges logning af alle anvendelser af personoplysninger, som involverer fortrolige
og følsomme oplysninger. ATP Koncernen logger i overensstemmelse med kra-
vene heri.”
Jeg kan henholde mig til svaret fra Udbetaling Danmark.
Manu Sareen
/ Bent Nielsen