Retsudvalget 2018-19 (2. samling)
REU Alm.del
Offentligt
2085470_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
26. september 2019
Databeskyttelseskontoret
Victoria Maria Ljunggren
2019-0030-2480
1225366
Hermed sendes besvarelse af spørgsmål nr. 218 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 30. august 2019. Spørgs-
målet er stillet efter ønske fra Karina Lorentzen Dehnhardt (SF).
Nick Hækkerup
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
 REU, Alm.del - 2018-19 (2. samling) - Endeligt svar på spørgsmål 269: Spm. om at redegøre for de nærmere regler for, hvornår og hvor længe Kriminalforsorgen er forpligtet til at følge Folketingets bevillinger m.v., til justitsministeren
Spørgsmål nr. 218 (Alm. del) fra Folketingets Retsudvalg:
”Persondataforordningen GDPR blev indført i EU den 25. maj
2018. Vil ministeren på den baggrund redegøre for og oplyse,
hvordan kriminalforsorgen efterlever lovgivningen fsva. ansatte
og indsatte, og hvis der er områder i kriminalforsorgen, som
endnu ikke lever helt eller delvist op til lovgivningen, bedes
disse anført med en realistisk tidsplan for implementering, hvor
en prissætning af tiltagene ligeledes enkeltvis fremgår.”
Svar:
1.
Justitsministeriet har til brug for besvarelsen indhentet et bidrag fra Di-
rektoratet for Kriminalforsorgen, der har oplyst følgende:
”Direktoratet for Kriminalforsorgen kan oplyse, at behandling
af personoplysninger, som kriminalforsorgen udfører i relation
til dømte, som udgangspunktet er omfattet af lov om retshånd-
hævende myndigheders behandling af personoplysninger (rets-
håndhævelsesloven), jf. lovens § 1.
Databeskyttelsesforordningen (GDPR) finder i relation til kri-
minalforsorgen således primært anvendelse i forhold til gene-
relle borgerhenvendelser mv. og i relation til behandling af per-
sonoplysninger i forbindelse med kriminalforsorgens eget per-
sonale, f.eks. håndtering af personalesager mv.
Nærværende besvarelse omfatter begge regelsæt.
1.
Både databeskyttelsesforordningen og retshåndhævelseslo-
ven er i en række henseender en videreførelse af regler og krav,
der har været gældende i en længere årrække. De fleste af de
krav til myndighederne, som følger af både databeskyttelsesfor-
ordningen og retshåndhævelsesloven, var således allerede gæl-
dende under den tidligere persondatalov, om end der særligt
med databeskyttelsesforordningen (GDPR) er kommet en øget
opmærksomhed på databeskyttelse i den brede offentlighed.
Det kan oplyses, at retningslinjer mv. på databeskyttelsesområ-
det suppleres af en række initiativer i relation til informations-
sikkerhed, f.eks. efterlevelse af ISO 27001 standarden, der fra
den tidligere regerings side er udvalgt som en obligatorisk ret-
tesnor for alle statslige myndigheder.
2.
I forbindelse med implementering af databeskyttelseslovgiv-
ningen har kriminalforsorgen gennemført en række tiltag, her-
under har databeskyttelsesrådgiveren afholdt undervisning i di-
rektoratet og områdekontorer, der er udarbejdet pjece om be-
handling af personoplysninger til de indsatte, ligesom hjem-
2
 REU, Alm.del - 2018-19 (2. samling) - Endeligt svar på spørgsmål 269: Spm. om at redegøre for de nærmere regler for, hvornår og hvor længe Kriminalforsorgen er forpligtet til at følge Folketingets bevillinger m.v., til justitsministeren
mesiden er opdateret i forhold til behandling af personoplysnin-
ger.
3.
Flere eksterne tilsyn foretaget af blandt andet Datatilsynet
har vist, at kriminalforsorgen på en række områder er nødt til at
forbedre sin indsats for at beskytte borgernes og de ansattes per-
sondata effektivt og leve op til lovgivningens krav på området.
Datatilsynet har således i december 2018 rejst alvorlig kritik af
kriminalforsorgens behandling af personoplysninger. Det gæl-
der utilstrækkelig opfyldelse af oplysningspligten, håndtering af
indsigtsanmodninger og manglende fastlæggelse af, hvem der
er dataansvarlig. Kriminalforsorgen har endvidere konstateret,
at kriminalforsorgens håndtering af databehandleraftaler og til-
syn med databehandlere heller ikke lever op til reglerne. Det be-
mærkes, at kriminalforsorgen på baggrund af Datatilsynets kri-
tik har fastlagt, hvem der er dataansvarlig og har håndteret kri-
tikken vedrørende de registreredes rettigheder.
Det er særdeles beklageligt, at kriminalforsorgen ikke fuldt ud
lever op til kravene i databeskyttelseslovgivningen, og kriminal-
forsorgen har derfor foretaget organisationsændringer og ompri-
oriteret personaleressourcer mv. for snarest muligt at bringe den
situation til ophør.
Kriminalforsorgen har i forlængelse af bl.a. Datatilsynets kritik
i foråret 2019 igangsat et projekt vedrørende yderligere styr-
kelse af databeskyttelsen og informationssikkerheden. Projektet
sikrer bl.a., at styringen af de to områder samtænkes, således at
efterlevelsen fremtidssikres ved at indarbejde de databeskyttel-
sesretlige krav i politikker og procedurer i forhold til behandling
af informationer generelt. Politikker og procedurer er tilgænge-
lige for alle ansatte på intranettet.
I forhold til efterlevelse af databeskyttelseslovgivningen kan det
nævnes, at der er igangsat en kortlægning af behandlingsaktivi-
teterne, hvor behandlingerne systematisk vurderes i forhold til
lovgivningen, herunder de grundlæggende principper, behand-
lingshjemmel, de registreredes rettigheder, organisatoriske og
tekniske sikkerhedsforanstaltninger, behov for databehandleraf-
taler mv. Resultaterne af kortlægningen samles i handlingspla-
ner i løbet af 2020 og vil blive implementeret ud fra en risiko-
baseret tilgang.
Det kan endvidere oplyses, at der netop er igangsat en aware-
ness-kampagne med det formål at øge ansattes opmærksomhed
og kompetencer på området, ligesom ansatte skal gennemføre
kurser inden for området.
Den igangsatte indsats for at styrke databeskyttelse og informa-
3
 REU, Alm.del - 2018-19 (2. samling) - Endeligt svar på spørgsmål 269: Spm. om at redegøre for de nærmere regler for, hvornår og hvor længe Kriminalforsorgen er forpligtet til at følge Folketingets bevillinger m.v., til justitsministeren
tionssikkerheden i kriminalforsorgen forventes at løbe over de
kommende år.
2.
Jeg er enig med kriminalforsorgen i, at det er særdeles beklageligt, at kri-
minalforsorgen ikke fuldt ud lever op til kravene i databeskyttelseslovgiv-
ningen. Jeg forventer, at kriminalforsorgen, som nærmere anført i bidraget,
bringer forholdene i orden.
4