Social-, Indenrigs- og Børneudvalget 2016-17
SOU Alm.del
Offentligt
1747277_0001.png
 SOU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 316: MFU spm. om, hvorvidt det er i overensstemmelse med persondataloven, såfremt en privatpraktiserende børnesagkyndig psykolog udsender indkaldelsesbreve indeholdende personoplysninger til borgere ved hjælp af en e-mail-krypteringsmulighed i eksempelvis Outlook, til justitsministeren
Spørgsmål nr. 315 (Alm. del) fra Folketingets Social-, Indenrigs- og
Børneudvalget:
”Ministeren
bedes redegøre for, hvilke muligheder eksempel-
vis privatpraktiserende børnesagkyndige psykologer har inden
for persondatalovens rammer i forhold til at udsende indkaldel-
sesbreve indeholdende personoplysninger til borgere?”
Svar:
Justitsministeriet har til brug for besvarelsen indhentet en udtalelse fra
Datatilsynet, der har oplyst følgende:
”Persondatalovens kapitel 4 opstiller betingelserne for, hvornår
behandling af personoplysninger kan ske. Enhver behandling
skal således have hjemmel i lovens §§ 6-11, ligesom grundbe-
tingelserne i persondatalovens § 5 om saglighed, proportionali-
tet, dataminimering og datakvalitet altid skal iagttages.
Herudover følger det af persondatalovens § 41, stk. 3, at den
dataansvarlige skal træffe de fornødne tekniske og organisato-
riske foranstaltninger mod, at personoplysninger hændeligt el-
ler ulovligt tilintetgøres, fortabes eller forringes, samt mod, at
de kommer til uvedkommendes kendskab, misbruges eller i
øvrigt behandles i strid med loven.
Medmindre Datatilsynet har stillet særlige vilkår i forbindelse
med en behandling, der sker efter tilladelse fra tilsynet, jf. per-
sondatalovens § 50, stk. 1 og 5, er det i første omgang op til
den enkelte private dataansvarlige selv at vurdere og beslutte,
hvilke sikkerhedsforanstaltninger der er nødvendige, når per-
sonoplysninger overføres via e-mail over internettet.
Datatilsynet har imidlertid fastlagt en række krav og anbefalin-
ger, som bliver lagt til grund i tilsynets administration af per-
sondatalovens sikkerhedskrav i relation til overførsel af per-
sonoplysninger via internettet i den private sektor.
Det fremgår heraf, at tilsynet anbefaler, at private dataansvarli-
ge (virksomheder, foreninger mv.) foretager kryptering, når
følsomme oplysninger omfattet af persondatalovens §§ 7-8,
personnumre samt oplysninger om password og lignende sen-
des med e-mail over internettet. Den dataansvarlige skal natur-
ligvis altid sikre sig, at oplysningerne sendes til den korrekte
modtager.
Det vil bero på en konkret vurdering, om der foreligger en til-
sidesættelse af persondatalovens § 41, stk. 3, såfremt person-
2
 SOU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 316: MFU spm. om, hvorvidt det er i overensstemmelse med persondataloven, såfremt en privatpraktiserende børnesagkyndig psykolog udsender indkaldelsesbreve indeholdende personoplysninger til borgere ved hjælp af en e-mail-krypteringsmulighed i eksempelvis Outlook, til justitsministeren
oplysninger er kommet til uvedkommendes kendskab, f.eks.
ved manglende kryptering af e-mails.”
3