Socialudvalget 2014-15 (1. samling)
L 148
Offentligt
1514871_0001.png
Folketingets Socialudvalg
Dato: 31. marts 2015
”Vil ministeren redegøre for, hvordan det sikres, at data fra Udbetaling Danmark
til kommunerne opbevares, behandles og destrueres ordentligt – dvs. af hensyn
til borgerens ret til beskyttelse af personlige oplysninger?”
Lovforslagets afsnit 4.5.2 indeholder en overordnet beskrivelse af de gældende
regler om datasikkerhed og opbevaring af oplysninger mv., som Udbetaling
Danmark og kommunerne skal overholde.
Det fremgår således af lovforslaget, at Udbetaling Danmark og kommunerne skal
have fokus på de datasikkerhedsmæssige aspekter, det vil sige reglerne i per-
sondataloven og bekendtgørelse af 15. juni 2000 om sikkerhedsforanstaltninger
til beskyttelse af personoplysninger, som behandles for den offentlige forvalt-
ning (sikkerhedsbekendtgørelsen).
Det fremgår blandt andet af sikkerhedsbekendtgørelsen, at den dataansvarlige
myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforan-
staltninger i myndigheden. Bestemmelserne skal navnlig omfatte organisatoriske
forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af
adgangskontrolordninger og autorisationsordninger samt kontrol med autorisa-
tioner. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og
beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse
af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens til-
syn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myn-
digheden. De interne bestemmelser skal gennemgås mindst én gang hvert år
Side 1 af 2
 PDF to HTML - Convert PDF files to HTML files
2
med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i
myndigheden.
Det fremgår herudover af § 13, stk. 4, i sikkerhedsbekendtgørelsen, at uddata-
materiale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de
formål, som behandlingen varetager.
Herudover fremgår det af bemærkningerne til lovforslaget, at tilretningen af sy-
stemerne skal ske med udgangspunkt i principperne om privacy by design (PDC),
som er et overordnet generelt princip, som betyder, at man ved opbygning af it-
systemer skal indtænke og arbejde med beskyttelse af persondata gennem hele
udviklingsprocessen.
Reglerne om datasikkerhed er uddybet i vejledning af 2. april 2001 til bekendt-
gørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af
personoplysninger, som behandles for den offentlige forvaltning.
Udbetaling Danmark og kommunerne har som andre myndigheder pligt til at
anmelde databehandlinger til Datatilsynet, og Datatilsynet kan kontrollere, om
databehandlingerne er i overensstemmelse med persondataloven blandt andet
ved at udføre inspektioner.
Udbetaling Danmarks revision skal herudover årligt udarbejde en uafhængig
revisorerklæring med høj grad af sikkerhed for, at bl.a. behandlingen af data
fungerer betryggende.
Der henvises i øvrigt til svaret på spørgsmål 2, ad L 148.
Manu Sareen
/Bent Nielsen