SUU, Alm.del - 2016-17 - Bilag 60: Opfølgning på SUU alm. del – svar på spm. 769 (2015-16) om, at SSI ved ikke at sikre en kryptering af data, ikke har overholdt Datatilsynets anbefaling i udtalelse af 17. juni 2013 til SSI, fra sundheds- og ældreministeren

Sundheds- og Ældreudvalget 2016-17
SUU Alm.del Bilag 60
Offentligt

Sundheds- og Ældreministeriet

Holbergsgade 6

1057 København K

Sendt til: [email protected]

21. september 2016

Vedrørende Sundheds- og Ældreministeriets forespørgsel af 18. august

2016

Ved e-mail af 18. august 2016 har Sundheds- og Ældreministeriet rettet hen-

vendelse til Datatilsynet vedrørende sagen om et anbefalet brev, der blev afle-

veret til en forkert modtager.

Sundheds- og Ældreministeriet har anmodet Datatilsynet om at oplyse, om

Statens Serum Institut ved ikke at sikre en kryptering af datamedierne (to

CD’er), dermed ikke har overholdt Datatilsynets anbefaling i udtalelse af 17.

juni 2013 til SSI i forbindelse med en inspektion.

I forbindelse med Datatilsynets inspektion i 2011 stillede SSI tilsynet et

spørgsmål om fremsendelse af datamedier med almindelig post. Datatilsynet

svarede, at tilsynet vil anbefale, at data krypteres under forsendelse af lag-

ringsmedier.

I sagen, hvor to CD’er i 2015 blev afleveret til en forkert modtager, havde SSI

ikke krypteret dataene og havde således ikke fulgt Datatilsynets anbefaling.

Det kan uddybende oplyses, at persondatalovens

sikkerhedskrav

indebæ-

rer, at de dataansvarlige myndigheder, virksomheder mv. skal beskytte per-

sonoplysninger med de fornødne sikkerhedsforanstaltninger. Dette gælder

f.eks., når personoplysningerne overføres til diverse former for datamedier og

–udstyr, hvor oplysningerne lagres og opbevares.

Persondatalovens krav om datasikkerhed medfører således, at personoplys-

ninger, der behandles på bærbare datamedier mv., skal beskyttes ikke blot

under forsendelse, men også når datamedierne mv. opbevares hos afsender og

modtager.

Det kan tilføjes, at Datatilsynet i visse tilfælde har stillet egentlige krav til

lagringen af følsomme personoplysninger i form af vilkår. Ved behandling af

Datatilsynet

Borgergade 28, 5.

1300 København K

CVR-nr. 11-88-37-29

Telefon 3319 3200

Fax 3319 3218

E-mail

[email protected]

www.datatilsynet.dk

J.nr. 2016-321-0425

Sagsbehandler

Anders Petersen

Direkte 3319 3221

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og orga-

nisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgø-

res, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbru-

ges eller i øvrigt behandles i strid med loven..

SUU, Alm.del - 2016-17 - Bilag 60: Opfølgning på SUU alm. del – svar på spm. 769 (2015-16) om, at SSI ved ikke at sikre en kryptering af data, ikke har overholdt Datatilsynets anbefaling i udtalelse af 17. juni 2013 til SSI, fra sundheds- og ældreministeren

følsomme personoplysninger i privat forskning indeholder Datatilsynets stan-

dardvilkår således bl.a. følgende:

”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Al-

ternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal

opbevares forsvarligt og adskilt fra personoplysningerne.”

Datatilsynet har i sikkerhedsvejledningen

endvidere angivet, at personoplys-

ninger, der lagres lokalt (uden for det centrale system), bør krypteres i forbin-

delse med hjemmearbejdspladser.

Sundheds- og Ældreministeriet har endvidere anmodet Datatilsynet om at

oplyse, hvilke bortkomne lagringsmedier der henvises til i Datatilsynets udta-

lelse af 17. juni 2013.

Det kan i den forbindelse oplyses, at Datatilsynet i mindst to tilfælde er blevet

orienteret af dataansvarlige myndigheder eller virksomheder om, at USB-

nøgler med persondata er bortkommet i forbindelse med almindelig postfor-

sendelse. Disse henvendelser har ikke omhandlet forskningsdata eller i øvrigt

data fra SSI.

Det kan tilføjes, at tilsynet også har modtaget henvendelser, hvor lagrings-

medier mv. er bortkommet hos den dataansvarlige, efter at forsendelsen har

fundet sted; f.eks. hvor USB-nøgler efter modtagelsen er blevet opbevaret hos

modtageren og derefter stjålet. Eksempler herpå har også været omtalt i medi-

erne

. Dette understreger vigtigheden af, at persondatalovens krav om beskyt-

telse af personoplysninger på diverse former for datamedier altid iagttages.

Efter Datatilsynets opfattelse må lagring af fortrolige eller følsomme person-

oplysninger på bærbare datamedier samt pc’er og andet it-udstyr, der for-

holdsvis nemt kan bortkomme eller stjæles, give anledning til særlig opmærk-

somhed på beskyttelse af oplysningerne.

De dataansvarlige myndigheder og virksomheder mv. bør efter Datatilsynets

opfattelse have retningslinjer for beskyttelse af personoplysninger på såvel

bærbare datamedier som bærbare pc’er og andet it-udstyr. Afhængigt af om-

stædighederne vil kryptering eller pseudonymisering eventuelt være en nød-

vendig sikkerhedsforanstaltning.

Med venlig hilsen

Lena Andersen

Kontorchef

Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000

om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den

offentlige forvaltning. Se vejledningen til § 7, stk. 2, vedrørende hjemmearbejdspladser.

Se f.eks. http://politiken.dk/indland/ECE2387183/indbrudstyve-stjal-computer-og--usb-stik-

fra-skattesagskommission/