Retsudvalget 2016-17
REU Alm.del
Offentligt
1740674_0001.png
REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 445: MFU spm. om ministeren kan bekræfte, at en arbejdsgiver, der sender en lønseddel til en lønmodtager via en ikke-krypteret mail, har et præsumptionsansvar i tilfælde af, at mailen ved et uheld bliver offentliggjort (jf. sikkerhedsbekendtgørelse nr. 528, § 3, herunder at persondatalovens krav om datasikkerhed skal overholdes), til justitsministeren
Spørgsmål nr. 446 (Alm. del) fra Folketingets Retsudvalg:
”Kan ministeren oplyse, hvad en virksomhed må ’sende rundt’
af information og data inden for rammerne af ’ens egen virk-
somhed’, herunder afsendelse af lønsedler til lønmodtager via
ikke-krypterede
mails, f.eks. via Outlook eller via PostNord?”
Svar:
1.
Det bemærkes indledningsvist, at Justitsministeriet har forstået spørgs-
målet således, at der spørges til persondatalovens krav til datasikkerhed i
forbindelse med transmission af oplysninger over internettet.
Justitsministeriet kan på denne baggrund oplyse, at de overordnede krav til
behandlingssikkerhed i denne sammenhæng fremgår af persondatalovens §
41, stk. 3, hvorefter den dataansvarlige skal træffe de fornødne tekniske og
organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller
ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til
uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med
loven.
2.
Nærmere regler om datasikkerhed hos
offentlige myndigheder
er fastsat
ved bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer om sik-
kerhedsforanstaltninger til beskyttelse af personoplysninger, som behand-
les for den offentlige forvaltning (den såkaldte sikkerhedsbekendtgørelse).
Det fremgår af sikkerhedsbekendtgørelsens § 14, at der kun må etableres
eksterne kommunikationsforbindelser, hvis der træffes særlige foranstalt-
ninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan
få adgang til personoplysninger.
Justitsministeriet har desuden indhentet en udtalelse fra Datatilsynet, som
bl.a. har oplyst følgende:
”Datatilsynet
har tilkendegivet, at der efter tilsynets opfattelse
som minimum bør foretages kryptering ved transmission af op-
lysninger om personnummer, andre fortrolige oplysninger
(herunder oplysninger om økonomiske forhold) og følsomme
oplysninger omfattet af persondatalovens §§ 7-8 over internet-
tet.
Hvis de nævnte personoplysninger hændeligt kommer til
uvedkommendes kendskab som følge af manglende kryptering,
2
REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 445: MFU spm. om ministeren kan bekræfte, at en arbejdsgiver, der sender en lønseddel til en lønmodtager via en ikke-krypteret mail, har et præsumptionsansvar i tilfælde af, at mailen ved et uheld bliver offentliggjort (jf. sikkerhedsbekendtgørelse nr. 528, § 3, herunder at persondatalovens krav om datasikkerhed skal overholdes), til justitsministeren
vil der som udgangspunkt være tale om en overtrædelse af per-
sondatalovens § 41, stk. 3.
Med hensyn til transmission af personoplysninger via internet-
tet i den
private sektor
finder persondatalovens § 41, stk. 3, li-
geledes anvendelse. Medmindre Datatilsynet har stillet vilkår
om kryptering
hvor en behandling sker efter tilladelse fra til-
synet, jf. persondatalovens § 50, stk. 1 og 5
er det som ud-
gangspunkt op til den enkelte private dataansvarlige at vurdere
og beslutte, hvilke sikkerhedsforanstaltninger der er nødvendi-
ge, når personoplysninger overføres via e-mail over internettet.
Datatilsynet har imidlertid offentliggjort en række anbefalin-
ger, hvorefter tilsynet anbefaler kryptering, når følsomme op-
lysninger omfattet af persondatalovens §§ 7-8, personnummer
og oplysninger om password og lignende sendes med e-mail
over internettet.
Det vil bero på en konkret vurdering, om der foreligger en til-
sidesættelse af persondatalovens § 41, stk. 3, såfremt person-
oplysninger er kommet til uvedkommendes kendskab ved
manglende kryptering af e-mails
mv.”
3