Sundheds- og Ældreudvalget 2016-17
SUU Alm.del Bilag 61
Offentligt
1684076_0001.png
Sundheds- og Ældreministeriet
Holbergsgade 6
1057 København K
Sendt til: [email protected]
21. september 2016
Vedrørende Sundheds- og Ældreministeriets forespørgsel af 18. august
2016
Ved e-mail af 18. august 2016 har Sundheds- og Ældreministeriet rettet hen-
vendelse til Datatilsynet vedrørende sagen om et anbefalet brev, der blev afle-
veret til en forkert modtager.
1.
Sundheds- og Ældreministeriet har anmodet Datatilsynet om at oplyse, om
Statens Serum Institut ved ikke at sikre en kryptering af datamedierne (to
CD’er), dermed ikke har overholdt Datatilsynets anbefaling i udtalelse af 17.
juni 2013 til SSI i forbindelse med en inspektion.
I forbindelse med Datatilsynets inspektion i 2011 stillede SSI tilsynet et
spørgsmål om fremsendelse af datamedier med almindelig post. Datatilsynet
svarede, at tilsynet vil anbefale, at data krypteres under forsendelse af lag-
ringsmedier.
I sagen, hvor to CD’er i 2015 blev afleveret til en forkert modtager, havde SSI
ikke krypteret dataene og havde således ikke fulgt Datatilsynets anbefaling.
2.
Det kan uddybende oplyses, at persondatalovens
1
sikkerhedskrav
2
indebæ-
rer, at de dataansvarlige myndigheder, virksomheder mv. skal beskytte per-
sonoplysninger med de fornødne sikkerhedsforanstaltninger. Dette gælder
f.eks., når personoplysningerne overføres til diverse former for datamedier og
–udstyr, hvor oplysningerne lagres og opbevares.
Persondatalovens krav om datasikkerhed medfører således, at personoplys-
ninger, der behandles på bærbare datamedier mv., skal beskyttes ikke blot
under forsendelse, men også når datamedierne mv. opbevares hos afsender og
modtager.
Det kan tilføjes, at Datatilsynet i visse tilfælde har stillet egentlige krav til
lagringen af følsomme personoplysninger i form af vilkår. Ved behandling af
1
2
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail
[email protected]
www.datatilsynet.dk
J.nr. 2016-321-0425
Sagsbehandler
Anders Petersen
Direkte 3319 3221
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og orga-
nisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgø-
res, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbru-
ges eller i øvrigt behandles i strid med loven..
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684076_0002.png
2
følsomme personoplysninger i privat forskning indeholder Datatilsynets stan-
dardvilkår således bl.a. følgende:
”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Al-
ternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal
opbevares forsvarligt og adskilt fra personoplysningerne.”
Datatilsynet har i sikkerhedsvejledningen
3
endvidere angivet, at personoplys-
ninger, der lagres lokalt (uden for det centrale system), bør krypteres i forbin-
delse med hjemmearbejdspladser.
3.
Sundheds- og Ældreministeriet har endvidere anmodet Datatilsynet om at
oplyse, hvilke bortkomne lagringsmedier der henvises til i Datatilsynets udta-
lelse af 17. juni 2013.
Det kan i den forbindelse oplyses, at Datatilsynet i mindst to tilfælde er blevet
orienteret af dataansvarlige myndigheder eller virksomheder om, at USB-
nøgler med persondata er bortkommet i forbindelse med almindelig postfor-
sendelse. Disse henvendelser har ikke omhandlet forskningsdata eller i øvrigt
data fra SSI.
4.
Det kan tilføjes, at tilsynet også har modtaget henvendelser, hvor lagrings-
medier mv. er bortkommet hos den dataansvarlige, efter at forsendelsen har
fundet sted; f.eks. hvor USB-nøgler efter modtagelsen er blevet opbevaret hos
modtageren og derefter stjålet. Eksempler herpå har også været omtalt i medi-
erne
4
. Dette understreger vigtigheden af, at persondatalovens krav om beskyt-
telse af personoplysninger på diverse former for datamedier altid iagttages.
Efter Datatilsynets opfattelse må lagring af fortrolige eller følsomme person-
oplysninger på bærbare datamedier samt pc’er og andet it-udstyr, der for-
holdsvis nemt kan bortkomme eller stjæles, give anledning til særlig opmærk-
somhed på beskyttelse af oplysningerne.
De dataansvarlige myndigheder og virksomheder mv. bør efter Datatilsynets
opfattelse have retningslinjer for beskyttelse af personoplysninger på såvel
bærbare datamedier som bærbare pc’er og andet it-udstyr. Afhængigt af om-
stædighederne vil kryptering eller pseudonymisering eventuelt være en nød-
vendig sikkerhedsforanstaltning.
Med venlig hilsen
Lena Andersen
Kontorchef
3
Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000
om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den
offentlige forvaltning. Se vejledningen til § 7, stk. 2, vedrørende hjemmearbejdspladser.
4
Se f.eks. http://politiken.dk/indland/ECE2387183/indbrudstyve-stjal-computer-og--usb-stik-
fra-skattesagskommission/