REU, Alm.del - 2018-19 (2. samling) - Endeligt svar på spørgsmål 310: Spm. om hvor langt regeringen er med implementeringen af de forskellige tiltag, der fremgår af beretning om datasikkerhed, afgivet af Retsudvalget den 15. januar 2015, til justitsministeren

Retsudvalget 2018-19 (2. samling)
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

10. oktober 2019

Databeskyttelseskontoret

Mikkel Reenberg

2019-0030-2580

1224922

Hermed sendes besvarelse af spørgsmål nr. 310 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 13. september 2019.

Spørgsmålet er stillet efter ønske fra Karina Lorentzen Dehnhardt (SF).

Nick Hækkerup

Anders Lotterup

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2018-19 (2. samling) - Endeligt svar på spørgsmål 310: Spm. om hvor langt regeringen er med implementeringen af de forskellige tiltag, der fremgår af beretning om datasikkerhed, afgivet af Retsudvalget den 15. januar 2015, til justitsministeren

Spørgsmål nr. 310 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren angive, hvor langt regeringen er med implemen-

teringen af de forskellige tiltag, der fremgår af beretning om da-

tasikkerhed, afgivet af Retsudvalget den 15. januar 2015, herun-

der oplyse hvilke tiltag, der er gennemført og hvilke, der er i

proces med angivelse af, hvornår tiltagene forventes afsluttet?”

Svar:

Retsudvalgets beretning om datasikkerhed sætter et vigtigt fokus. Vi skal

konstant være opmærksomme på tilstrækkelig beskyttelse af danskernes

personoplysninger, særligt i en tid med hastig teknologisk udvikling.

Jeg kan konstatere, at jeg er enig i en meget stor del af de tiltag og grund-

læggende principper, som Retsudvalget beskriver. Samtidig er jeg glad for

at kunne konstatere, at en stor del af de foreslåede tiltag og principper alle-

rede er gennemført som led i den lovgivning på databeskyttelsesområdet,

som har fundet anvendelse fra 25. maj 2018.

De nye regler i databeskyttelsesforordningen og databeskyttelsesloven aflø-

ste således fra 25. maj 2018 persondataloven, som var gældende i januar

2015, hvor Retsudvalget afgav sin beretning.

Efter afgivelsen af beretningen besvarede Justitsministeriet den 14. januar

2016 samlet på vegne af den daværende regering spørgsmål nr. 147 (Alm.

del), folketingsåret 2014-15 (2. samling), fra Folketingets Retsudvalg. I be-

svarelsen af spørgsmål nr. 147 gennemgås Justitsministeriets og andre rele-

vante myndigheders bemærkninger til beretningen. Da besvarelsen af

spørgsmål nr. 147 i vidt omfang henviste til de på daværende tidspunkt kom-

mende regler i databeskyttelsesforordningen, vil der også i et vist omfang

blive henvist til besvarelsen af spørgsmål nr. 147 i det følgende.

I det følgende vil jeg således redegøre for mine bemærkninger til de seks

hovedafsnit i beretningens afsnit 3.1-3.6. Justitsministeriet har desuden ind-

hentet relevante myndigheders bidrag til brug for besvarelsen.

Til indholdet af Retsudvalgets beretning bemærkes indledningsvis, at da-

tabeskyttelsesforordningens formål dels er at sikre beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger, dels at sikre

den frie udveksling af personoplysninger i EU.

Der findes en række grundlæggende principper i databeskyttelsesforordnin-

gens artikel 5, som altid skal være opfyldte, når man behandler personop-

lysninger. Principperne indebærer bl.a., at man ikke må behandle personop-

lysninger i videre omfang, end det er nødvendigt i forhold til de formål, som

de behandles (princippet om proportionalitet), og at personoplysningerne

skal indsamles til udtrykkeligt angivne og legitime formål. Princippet inde-

bærer også, at personoplysninger altid skal behandles på en rimelig og gen-

nemsigtig måde, og at personoplysninger generelt ikke må opbevares i et

længere tidsrum, end det er nødvendigt i forhold til de formål, de behand-

les.

En overtrædelse af artikel 5, som udgør et grundlæggende og vigtigt princip

i databeskyttelsesretten, kan straffes med en bøde på op til 20 mio. EUR ef-

ter databeskyttelsesforordningens og databeskyttelseslovens regler.

I tilknytning til disse grundlæggende principper i artikel 5 kan man sige, at

der i databeskyttelsesforordningen findes tre yderligere grundlæggende

principper.

For det

første

findes der et princip om ansvarlighed (”accountability”). Det

indebærer, at det er den dataansvarliges ansvar at sikre og

påvise

overhol-

delse af databeskyttelsesreglerne, herunder den føromtalte artikel 5.

For det

andet

findes der et princip om gennemsigtighed. Det skal være gen-

nemsigtighed omkring behandlingen af personoplysninger for den registre-

rede. Dette kommer bl.a. til udtryk i reglerne om oplysningspligt i forord-

ningens artikel 13 og 14, hvorefter den dataansvarlige af egen drift skal op-

lyse om nærmere bestemte forhold over for den, som der behandles perso-

noplysninger om. Princippet kommer derudover bl.a. til udtryk i artikel 15

om retten til indsigt, hvorefter den registrerede bl.a. har ret til at få oplyst,

om der behandles personoplysninger om den pågældende og at få kopi af

oplysningerne.

Princippet om gennemsigtighed gælder ikke uden undtagelser, da der efter

en konkret vurdering kan foreligge et vægtigere modstående hensyn, eksem-

pelvis til statens sikkerhed eller til strafferetlig efterforskning, således at der

kan undtages fra eksempelvis retten til indsigt. Dette følger af databeskyt-

telseslovens §§ 22-23.

For det

tredje

findes der et princip om en risikobaseret tilgang. Når der be-

handles personoplysninger, skal det ud fra en risikobaseret tilgang sikres, at

behandlingen sker på et passende sikkerhedsniveau. Dette kommer bl.a. til

udtryk i databeskyttelsesforordningens artikel 32, hvorefter man bl.a. ud fra

de risici, der er i en bestemt behandlingssituation, skal gennemføre passende

tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau,

der passer til disse risici. Det følger i den forbindelse af Datatilsynets vej-

ledning om behandlingssikkerhed, at f.eks. egne ansattes interne adgang til

personoplysninger skal være begrænset til, hvad den pågældende ansatte har

behov for. Et passende sikkerhedsniveau fordrer således, at det bl.a. sikres,

at egne ansatte kun får adgang til de personoplysninger, som der konkret er

behov for i vedkommendes funktion i den pågældende organisation.

Herudover bemærkes det, at overholdelse af databeskyttelsesreglerne påses

af Datatilsynet. Enhver registreret har ret til at klage til Datatilsynet, som

udøver sine funktioner i fuld uafhængighed. Denne funktionelle uafhængig-

hed sikrer bl.a., at den registrerede kan udøve sin ret til at klage inden for en

betryggende retssikkerhedsmæssig ramme.

Om beretningens hovedafsnit 3.1 om overordnede principper for datasik-

kerhed bemærkes i øvrigt følgende:

Justitsministeriet har indhentet en udtalelse fra Datatilsynet, der i relation til

spørgsmålet om vejledning om lovgivning og regulering på databeskyttel-

sesområdet har oplyst følgende:

”1. Datatilsynet er den centrale uafhængige statslige myndig-

hed, der fører tilsyn med databeskyttelsesforordningen og data-

beskyttelsesloven samt lov om retshåndhævende myndigheders

behandling af personoplysninger (retshåndhævelsesloven).

Datatilsynets rolle, kompetencer og opgaver er nærmere fastsat

i databeskyttelsesforordningens artikel 51-59. Om Datatilsynets

opgaver fremgår det af forordningens artikel 57, at tilsynet – for

så vidt angår rådgivning og vejledning – navnlig har til opgave:

at fremme offentlighedens kendskab til og forståelse af risici,

regler, garantier og rettigheder i forbindelse med behandling (li-

tra b),

at rådgive det nationale parlament, regeringen og andre institu-

tioner og organer om lovgivningsmæssige og administrative for-

anstaltninger til beskyttelse af fysiske personers rettigheder og

frihedsrettigheder i forbindelse med behandling (litra c),

at fremme dataansvarliges og databehandleres kendskab til de-

res forpligtelser i henhold til denne forordning (litra d),

at informere om registrerede om udøvelsen af deres rettigheder

i henhold til forordningen (litra e), og

at rådgive om konsekvensanalyser (litra l).

Det er efter Datatilsynets opfattelse afgørende for at sikre en høj

beskyttelse af danskernes personoplysninger – og derfor også

tilsynets vision – at myndigheder og private kender og overhol-

der reglerne for behandling af personoplysninger, og at borgerne

kender og kan bruge deres rettigheder. Datatilsynet gør dette

muligt og lettere gennem synlighed, information, dialog og kon-

trol. Det er samtidig Datatilsynets mission at rådgive om regi-

strering, videregivelse og anden behandling af personoplysnin-

ger og føre tilsyn med, at myndigheder, virksomheder og andre

dataansvarlige overholder reglerne på området.

Datatilsynets forpligtelse til at yde en serviceorienteret og an-

vendelig rådgivning er ikke kun en del af Datatilsynets vision

og mission. Det følger således som nævnt ovenfor også direkte

af databeskyttelsesforordningen, at tilsynet skal fremme offent-

lighedens kendskab til og forståelse af risici, regler, garantier og

rettigheder i forbindelse med behandling, og der skal – som no-

get nyt – sættes særligt fokus på aktiviteter, der er direkte rettet

mod børn. Datatilsynet skal endvidere fremme dataansvarliges

og databehandleres kendskab til deres forpligtelser i henhold til

forordningen.

2. I 2016 og 2017 deltog Datatilsynet meget aktivt i bl.a. det hur-

tigtarbejdende projektarbejde, som efter vedtagelsen i EU af

bl.a. databeskyttelsesforordningen i april 2016 blev iværksat i

regi af Justitsministeriet med henblik på at tilpasse dansk lov-

givning til forordningen. Datatilsynet bidrog således væsentligt

til betænkning nr. 1565 om databeskyttelsesforordningen, der

blev offentliggjort den 24. maj 2017 som et resultat af projekt-

arbejdet.

Af betænkningens indledning fremgår på side 14 bl.a., at be-

tænkningen – ud over at tjene det formål at sikre forordningens

korrekte gennemførelse i dansk ret og danne grundlag for udar-

bejdelsen af en ny version af persondataloven og følgelove med

konsekvensrettelser – også er tiltænkt at være det retlige grund-

lag for udarbejdelse af praktisk anvendelige vejledninger.

Datatilsynet var i forlængelse af betænkningen i 2017 ansvarlig

for offentliggørelse af 5 nationale vejledninger om forordnin-

gen, ligesom tilsynet samme år i regi af den tidligere såkaldte

Artikel 29-gruppe (nu Det Europæiske Databeskyttelsesråd) bi-

drog til udarbejdelse af 5 fælleseuropæiske vejledninger om reg-

lerne.

I 2016 lancerede Datatilsynet også en ekstra hjemmeside, der

var dedikeret til bl.a. databeskyttelsesforordningen, og hvor der

løbende blev offentliggjort nyheder om arbejdet med forordnin-

gen i Danmark og i EU. Herudover offentliggjorde tilsynet et

dokument indeholdende 12 spørgsmål, man som dataansvarlig

med fordel allerede på dette tidspunkt kunne begynde at for-

holde sig til for at forberede sig, inden databeskyttelsesforord-

ningen begyndte at finde anvendelse.

3. Datatilsynet har også i 2018 og 2019 brugt betydelige res-

sourcer på at rådgive og vejlede om de nye databeskyttelsesreg-

ler. Det gælder herhjemme, hvor tilsynet hver dag håndterer

mange telefoniske og skriftlige forespørgsler, og samtidig her-

med løbende træffer afgørelser i konkrete klagesager, der kan

tjene som vejledning for andre, og udarbejder vejledninger mv.

Det har i den forbindelse været vigtigt for Datatilsynet at imø-

dekomme det øgede behov for telefonisk rådgivning, som tilsy-

net i særlig grad oplevede efter den 25. maj 2018, hvorfor Data-

tilsynet fra og med den 4. september 2018 har udvidet telefonti-

den med 5 yderligere timer pr. uge, ligesom der er flere medar-

bejdere til at tage telefonerne.

I 2018 offentliggjorde Datatilsynet endvidere 8 nationale vejled-

ninger om forordningen, som et foreløbigt supplement til de 5

vejledninger, som tilsynet som nævnt ovenfor offentliggjorde

om forordningen i 2017. Herudover har tilsynet i 2018 og 2019

– i regi af Det Europæiske Databeskyttelsesråd – bidraget til ud-

arbejdelsen af en lang række fælleseuropæiske vejledninger mv.

om reglerne. Alle de nævnte vejledninger kan sammen med en

række praktisk anvendelige skabeloner til opfyldelse af oplys-

ningspligten, en databehandleraftale og en aftale om delt data-

ansvar findes på Datatilsynets hjemmeside.

Datatilsynet lancerede også en ny hjemmeside i maj 2018. Den

nye hjemmeside har fået et helt nyt visuelt udtryk og en ny struk-

tur, ligesom alle tekster er nye. Fokus har bl.a. været på at for-

midle databeskyttelsesreglerne og Datatilsynets praksis mv. på

en mere forståelig og brugervenlig måde sammenholdt med den

tidligere hjemmeside. Datatilsynet bruger også aktivt tilsynets

LinkedIn-profil (9.800 følgere pr. 25. september 2019) til at

komme ud med rådgivning og vejledning.

Herudover holder Datatilsynet mange møder med bl.a. inter-

esse- og brancheorganisationer, men også enkeltstående data-

ansvarlige og databehandlere, hvis der måtte være behov herfor.

Datatilsynet prioriterer endvidere at komme ud og deltage med

indlæg mv. på konferencer, seminarer o. lign for at informere

om de nye databeskyttelsesretlige regler og tilsynets praksis,

men også for, at tilsynet kan opnå større viden om, hvilke ud-

fordringer de registrerede, andre offentlige myndigheder og den

private sektor oplever inden for databeskyttelsesområdet. Data-

tilsynet deltog i 2018 således med indlæg mv. på 67 konferen-

cer, seminarer o. lign.; en fordobling sammenlignet med 2017,

hvor tallet var 34. Datatilsynet har også i 2019 allerede nu del-

taget med mange indlæg mv. på konferencer, seminarer o. lign,

ligesom tilsynet i juni måned deltog i Folkemødet på Bornholm,

efterfulgt af Ungdommens Folkemøde i begyndelsen af septem-

ber i Valby, og den 3.- 4. oktober 2019 vil Datatilsynet deltage

med en stand på Digitaliseringsmessen i Odense, hvor målgrup-

pen den første dag er de offentlige myndigheder, og dagen efter

private virksomheder.

Herudover lancerede Datatilsynet og Erhvervsstyrelsen sammen

i begyndelsen af 2018 på Virk Startvækst en ny udgave af Pri-

vacyKompasset, så virksomhederne kan få hjælp til at efterleve

de nye databeskyttelsesregler. På PrivacyKompasset kan virk-

somheder således bl.a. tage en online test, der kan hjælpe dem i

gang med at implementere databeskyttelsesreglerne i deres or-

ganisation og få svar på helt basale spørgsmål i forhold til an-

svarlig datahåndtering. PrivacyKompasset er derfor en hjælp til

bedre brug af data inden for lovgivningens rammer og åbner

samtidigt for, at virksomhederne på længere sigt kan bruge ”pri-

vacy” som et konkurrenceparameter. Datatilsynet og Erhvervs-

styrelsen forventer i øvrigt inden udgangen af 2019 at lancerer

en opdateret og videreudviklet version af PrivacyKompasset.

I slutningen af oktober 2018 lancerede Erhvervsstyrelsen og Di-

gitaliseringsstyrelsen endvidere en ny informationsportal, hvor

borgere, virksomheder og myndigheder kan finde viden, vejled-

ning og konkrete værktøjer til en sikker digital hverdag. Datatil-

synet er en af bidragsyderne til portalen under de punkter, hvor

bl.a. myndigheder kan få information om databeskyttelse.

Særligt for brugere af CAMPUS – den offentlige e-læringsplat-

form – har Datatilsynet endvidere i 2018 sammen med Moder-

niseringsstyrelsen udviklet et e-læringskursus i databeskyttel-

sesforordningen. De første moduler blev lanceret i maj 2018.

Datatilsynet forventer endvidere inden for de næste 3-4 måne-

der at offentliggøre en række webinarer om databeskyttelsesreg-

lerne på tilsynets hjemmeside, som alle vil kunne tilgå med hen-

blik på at tilegne sig en grundlæggende viden om reglerne.

Datatilsynet har i 2018 også i samarbejde med nonprofitorgani-

sationen e-mærket udarbejdet en podcast (6 episoder) om reg-

lerne om databeskyttelse, der særligt henvender sig mod små og

mellemstore virksomheder. De to første episoder blev lanceret i

april og den sidste i oktober 2018. Datatilsynet planlægger in-

den for kort tid i øvrigt at lancere endnu en podcast, der skal

hjælpe mindre virksomheder til at få et overblik over reglerne i

databeskyttelsesforordningen. Podcasten består af 15 episoder,

og i hvert afsnit indtager forskellige medarbejdere fra Datatilsy-

net rollen som vært og fortæller om et emne, der er særligt rele-

vant for små og mellemstore virksomheder.

Endelig forventer Datatilsynet inden for kort tid at offentliggøre

10 små animerede videoer om databeskyttelsesreglerne, der er

målrettet danskerne generelt (3 videoer, der skal bidrage til mere

generelt at gøre danskerne opmærksomme på reglerne og 7 vi-

deoer om de registreredes rettigheder).

4. Datatilsynet arbejder i disse år på at blive bedre til – som en

yderligere opfølgning på Datatilsynets tilsynsaktiviteter – at

bruge den viden, som tilsynet har fået ved de forskellige stikprø-

vekontroller, som Datatilsynets tilsynsaktiviteter nødvendigvis

må være udtryk for, aktivt og omsætte den til yderligere rådgiv-

ning og vejledning til såvel de registrerede som de dataansvar-

lige.

Hvis det f.eks. kan konstateres, at alle de dataansvarlige, som

Datatilsynet på et givet tidspunkt måtte have ”trukket ud” til et

tilsyn, hvor det kontrolleres, at de efterlever reglerne om de re-

gistreredes rettigheder – i dette tilfælde oplysningspligten – har

svært ved dette, eller hvis tilsynet oplever, at der ses en tendens

til, at et bestemt område af databeskyttelsesretten volder de da-

taansvarlige særlige problemer, bør Datatilsynet sætte ind med

yderligere rådgivning og vejledning på de nævnte områder. Ef-

ter Datatilsynets opfattelse vil dette også kunne bidrage yderli-

gere til, at myndigheder og private kender og overholder reg-

lerne for behandling af personoplysninger, og at borgerne ken-

der og kan bruge deres rettigheder.”

Det følger desuden af Retsudvalgets beretning, at dansk registerforskning er

af stor betydning, men at borgeres ret til privatliv og datasikkerhed bør pri-

oriteres, f.eks. gennem anonymisering og pseudonymisering. Justitsministe-

riet har til brug for besvarelsen af denne del indhentet en udtalelse fra Sund-

heds- og Ældreministeriet, der har oplyst følgende:

”Sundheds- og Ældreministeriet kan for så vidt angår princippet

om, at dansk registerforskning er af stor betydning, men at bor-

germes ret til privatliv og datasikkerhed bør prioriteres, f.eks.

gennem anonymisering og pseudonymisering, henvise til mini-

steriets tidligere bidrag til Justitsministeriets svar på spørgsmål

nr. 147 (Alm. del) af 14. januar 2016.

Sundheds- og Ældreministeriet skal således fastholde, at udle-

vering af data, der indeholder personoplysninger om patienters

helbredsforhold mv., til brug for forskning på sundhedsområdet,

herunder registerforskning, som udgangspunkt ikke bør ske i

personhenførbar form, medmindre det godtgøres, at et givent

forskningsprojekt ikke kan gennemføres alene på baggrund af

ikke personhenførbare oplysninger.

På sundhedsområdet arbejdes der fortsat med øget brug af pseu-

donymisering af personoplysninger til forskningsprojekter, ek-

sempelvis gennem såkaldte forskermaskineløsninger.

Sundheds- og Ældreministeriet kan i den forbindelse nævne, at

en ny procedure for forskermaskine-løsningen i Sundhedsdata-

styrelsen blev vedtaget og idriftsat i januar 2018. Den nye pro-

cedure indebærer, at forskere, der ønsker adgang til registre,

som Sundhedsdatastyrelsen er ansvarlig for, som udgangspunkt

kun kan få adgang til disse via en forskermaskine-løsning. Når

Sundhedsdatastyrelsens forskermaskine-løsning anvendes til re-

gisterforskning indebærer det, at forskeren kun kan få adgang til

data i pseudonymiseret form, dvs. at cpr-nummer og andre di-

rekte identifikatorer er krypterede. Den nye løsning indebærer

yderligere, at adgangen til et givent register i Sundhedsdatasty-

relsen vil være afgrænset til lige præcis den del af registeret, som

er relevant for det givne forskningsprojekt.

Sundheds- og Ældreministeriet støtter således fortsat en yderli-

gere brug af anonymisering og pseudonymisering, samtidig med

at ministeriet finder det vigtigt at fastholde, at visse forsknings-

projekter ikke lader sig gennemføre uden brug af personhenfør-

bare oplysninger, herunder f.eks. klinisk forskning, hvor øvrig

lovgivning i øvrigt i øvrigt bidrager til beskyttelsen af indivi-

det.”

I forhold til princippet om, at forskning i datasikkerhed og kryptering bør

prioriteres, har Justitsministeriet indhentet en udtalelse fra Uddannelses- og

Forskningsministeriet, der har oplyst følgende:

”Forskning inden for cyber- og informationssikkerhed er blevet

prioriteret blandt de statslige forskningsmidler. Senest ved af-

tale i efteråret 2018 mellem alle Folketingets daværende partier

om fordeling af forskningsreserven for 2019 blev der afsat 215

mio. kr. i regi af Danmarks Innovationsfond til forskning i nye

teknologiske muligheder.

Midlerne skal understøtte udviklingen af det digitale fagområde

og som udgangspunkt bidrage til – bl.a. tværdisciplinær – forsk-

ning i eksempelvis kunstig intelligens, big data, Internet of

Things, kvantecomputing, it-sikkerhed, blockchain og digital

omstilling.

Endvidere blev der med samme aftale afsat 80 mio. kr. til digi-

tale teknologier som kunstig intelligens (AI), big data, Internet

of Things og it-sikkerhed med fokus på kapacitetsopbygning af

den danske talentmasse på det det digitale område.”

Om spørgsmålet om, hvorvidt der bør være en indberetningspligt ved tab af

kontrol med følsomme og fortrolige personoplysninger, og om der bør være

en instans, som følger op på datasikkerhedsbrud samt gør erfaringerne til-

gængelige for øvrige myndigheder og virksomheder, har Justitsministeriet

indhentet en udtalelse fra Datatilsynet, der har oplyst følgende:

”Med databeskyttelsesforordningens artikel 33 er der indført en

generel forpligtelse for alle dataansvarlige til at anmelde brud

på persondatasikkerheden til Datatilsynet. Anmeldelsen skal ske

uden unødig forsinkelse og om muligt senest 72 timer efter, at

den dataansvarlige er blevet bekendt med bruddet. Foretages an-

meldelsen til Datatilsynet ikke inden for 72 timer, skal den

ledsages af en begrundelse for forsinkelsen.

Udgangspunktet er, at brud på persondatasikkerheden altid skal

anmeldes, medmindre det er usandsynligt, at det pågældende

brud indebærer en risiko for fysiske personers rettigheder eller

frihedsrettigheder.

Et brud på persondatasikkerheden er i forordningens artikel 4,

nr. 12, defineret som et brud på sikkerheden, der fører til hæn-

delig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vi-

deregivelse af eller adgang til personoplysninger, der er trans-

mitteret, opbevaret eller på anden måde behandlet.

Databeskyttelsesforordningens artikel 33, stk. 3 og 4, indehol-

der de nærmere regler for indholdet af anmeldelsen efter stk. 1,

og den dataansvarlige skal i den forbindelse bl.a. beskrive ka-

rakten af bruddet på persondatasikkerheden og de foranstaltnin-

ger, som den dataansvarlige har truffet eller foreslår truffet for

at håndtere bruddet, herunder, hvis det er relevant, foranstaltnin-

ger for at begrænse bruddets mulige skadevirkninger.

Foruden forpligtelsen til at anmelde brud på persondatasikker-

heden til Datatilsynet, er den dataansvarlige forpligtet til at un-

derrette den registrerede om bruddet, når bruddet sandsynligvis

vil indebære en høj risiko for fysiske personers rettigheder og

frihedsrettigheder, jf. forordningens artikel 34, stk. 1.

Anmeldelse af brud på persondatasikkerheden til Datatilsynet

sker via den fællesoffentlige indberetningsportal virk.dk.

Datatilsynet udgiver herefter kvartalsvist en oversigt over an-

meldelser af brud på persondatasikkerheden, dog sådan at første

oversigt vedrørte perioden 25. maj 2018 til 31. december 2018

henset til, at databeskyttelsesforordningen har fundet anven-

delse fra den 25. maj 2018.

I perioden 25. maj til 31. december 2018 modtog Datatilsynet

2780 anmeldelser om brud på persondatasikkerheden. Datatil-

synet har i perioden fra 1. januar til 31. marts 2019 modtaget

1.521 anmeldelser om persondatasikkerhedsbrud, ligesom tilsy-

net i perioden fra 1. april til 30. juni 2019 har modtaget 1.740

anmeldelser.

Datatilsynets kvartalsvise opgørelse over anmeldelser af brud på

persondatasikkerheden ledsages af en gennemgang af, dels

hvordan anmelderne fordeler sig på de forskellige sektorer, både

for så vidt angår offentlige og private dataansvarlige, dels hvad

der karakteriserer de forskellige anmeldelser. Det sker navnlig

med henblik på, at de dataansvarlige kan drage læring fra de an-

meldte brud på persondatasikkerheden og evaluere egne organi-

satoriske og tekniske foranstaltninger og eventuelt implemen-

tere yderligere foranstaltninger med henblik på at undgå tilsva-

rende brud.

De anmeldte brud på persondatasikkerheden udgør endvidere et

værdifuldt datagrundlag, som Datatilsynet benytter i forbindelse

med sin tilsynsvirksomhed, herunder ved udvælgelsen af hvilke

dataansvarlige som skal være genstand for Datatilsynets tilsyn.”

Erhvervsministeriet har over for Justitsministeriet oplyst, at man i relation

til spørgsmålet om indberetningspligt på teleområdet kan henholde sig til

bidraget i afsnit 2.9 i besvarelsen af spørgsmål nr. 147.

I forhold til beretningens spørgsmål om, hvorvidt lovgivningsinitiativer bør

være teknologineutrale, og at anvendelsen af personoplysninger samt kon-

sekvenser for privatlivets fred – herunder hvordan negative konsekvenser

for privatlivets fred kan undgås – bør fremgå af bemærkningerne til det

fremsatte lovforslag, bemærkes det, at det følger af præambelbetragtning nr.

15 til databeskyttelsesforordningen, at reglerne i forordningen

teknologi-

neutrale. Databeskyttelsesloven er også teknologineutral.

Det er desuden min opfattelse, at spørgsmål om behandling af personoplys-

ninger, herunder hjemmelsgrundlaget for behandling af personoplysninger

samt konsekvenser for privatlivets fred, fortsat og i overensstemmelse med

besvarelsen af spørgsmål nr. 147, afsnit 2.11, i relevant omfang bør fremgå

af bemærkningerne til et fremsat lovforslag.

Om beretningens hovedafsnit 3.2 om tilsynet med overholdelse af per-

sondataloven bemærkes følgende:

I forhold til spørgsmålet om, hvorvidt Datatilsynets kontrolbesøg skal være

risikobaserede, har Justitsministeriet til brug for besvarelsen indhentet en

udtalelse fra Datatilsynet, der har oplyst følgende:

”Efter databeskyttelsesforordningens artikel 57, stk. 1, litra a,

skal Datatilsynet føre tilsyn med og håndhæve anvendelsen af

forordningen.

I den forbindelse er det et vigtigt element i Datatilsynets kontrol

og tilsynsvirksomhed at foretage varslede tilsyn, herunder sær-

ligt tilsynsbesøg, og Datatilsynet har siden den 25. maj 2018,

hvor databeskyttelsesforordningen fandt anvendelse, tilstræbt at

gennemføre et vist antal varslede tilsyn til trods for, at Datatil-

synets fokus primært har været rettet imod vejledningsindsat-

sen.

Siden databeskyttelsesforordningens anvendelse har Datatilsy-

net fortsat gennemførelsen af sine varslede tilsyn på baggrund

af den strategi, som tilsynet vedtog for 2016-2018.

Tilsynene planlægges for cirka et halvt år ad gangen, hvor Da-

tatilsynet i første omgang finder frem til, hvilke temaer og myn-

digheder og virksomhedsbrancher tilsynene skal dække, og her-

efter finder frem til de enkelte dataansvarlige, som skal være

genstand for Datatilsynets tilsyn.

Når Datatilsynet udvælger, hvilke temaer og myndigheder samt

virksomhedsbrancher tilsynene skal dække, fokuserer Datatilsy-

net navnlig på behandlinger af personoplysninger, som på grund

af deres formål, omfang eller karakter indebærer en særlig risiko

for at krænke de registreredes ret til databeskyttelse og privat-

liv, samt på behandlinger, som indebærer brug af ny teknologi.

Andre parametre indgår imidlertid også i Datatilsynet vurdering,

herunder f.eks. områder, hvor der har vist sig at være udfordrin-

ger, henvendelser fra borgere og medier mv. omkring specifikke

problemstillinger og en vis geografisk spredning.

Datatilsynet arbejder således allerede med en risikobaseret til-

gang til sin tilsynsvirksomhed, men ønsker og arbejder på yder-

ligere at styrke sin tilsynsvirksomhed og sikre en optimal kapa-

citetsudnyttelse med henblik på at frembyde størst mulig data-

beskyttelse for de registrerede personer.

På den baggrund har Datatilsynet – i forbindelse med tilsynets

igangværende projekt om en ny samlet strategi for Datatilsynet

– tillige igangsat en evaluering af Datatilsynets tilsynsvirksom-

hed.”

I forhold til anbefalingen om, at det overvejes, om der bør etableres en kla-

geinstans til at behandle klager over Datatilsynets afgørelser, er det min op-

fattelse, at Datatilsynet, der som nævnt i afsnit 2 udøver sin tilsynsfunktion

i fuld uafhængighed, sikrer retssikkerhed for både de registrerede samt for

de borgere og virksomheder, som tilsynet generelt kommer i berøring med

ved udøvelsen af sin tilsynsfunktion.

På den baggrund er det også min opfattelse, at der ikke er behov for at op-

rette en sådan klageinstans. Det bemærkes også i den forbindelse, at Data-

tilsynets virksomhed er undergivet Folketingets Ombudsmands kompe-

tence, og at Datatilsynets afgørelser i øvrigt kan indbringes for domstolene

i overensstemmelse med grundlovens § 63.

På samme baggrund som nævnt ovenfor finder jeg ikke behov for at ændre

Datatilsynets organisatoriske forankring, f.eks. at placere tilsynet under Fol-

ketinget.

Jeg bemærker endvidere, at Datatilsynet med finansloven for 2018 blev styr-

ket med 12,5 mio. kr. i 2018, 16,4 mio. kr. i 2019 og 16,8 mio. kr. i 2020 og

frem, dels som følge af meropgaver vedrørende databeskyttelsesforordnin-

gen mv., dels som en generel styrkelse af Datatilsynet. Der henvises i den

forbindelse til besvarelse af spørgsmål nr. 60 til L 68 (databeskyttelseslo-

ven) og L 69 (Konsekvensændringer som følge af databeskyttelsesloven

samt medieansvarslovens anvendelse på offentligt tilgængelige informa-

tionsdatabaser m.v.), folketingsåret 2017-18.

Om beretningens hovedafsnit 3.3 om Datatilsynets sanktionsmuligheder

ved brud på datasikkerhed kan der henvises til det, som blev anført i besva-

relsen af spørgsmål nr. 147, afsnit 4.

Hertil bemærkes, at det nu efter databeskyttelseslovens § 41 er muligt at på-

lægge både private og offentlige aktører bøder for overtrædelse af databe-

skyttelsesforordningen og databeskyttelsesloven. Det bemærkes desuden, at

både den dataansvarlige og databehandleren kan ifalde ansvar og pålægges

sanktioner efter databeskyttelsesforordningen og databeskyttelsesloven.

Bøderammerne for private aktører for overtrædelse af reglerne er på 10 el-

ler 20 mio. EUR afhængig af hvilke regler, som overtrædes. En bøde kan

dog også udgøre op til 2 % af en virksomheds samlede globale omsætning i

et forudgående regnskabsår, hvis dette beløb er højere. Det forudsættes i for-

arbejderne til databeskyttelsesloven, at der som følge af dette betydelige

maksimale bødebeløb i forordningen lægges op til en væsentlig forøgelse af

bødeniveauet for overtrædelse af de databeskyttelsesretlige regler set i for-

hold til størrelsen af bøder for overtrædelse af den tidligere gældende per-

sondatalov.

Om beretningens hovedafsnit 3.4 om samling af ansvaret for datasikker-

hed kan der henvises til det anførte i besvarelsen af spørgsmål nr. 147, af-

snit 5.

Det bemærkes supplerende, at det følger af databeskyttelseslovens § 1, stk.

3, at regler om behandling af personoplysninger i anden lovgivning, som

ligger inden for databeskyttelsesforordningens rammer for særregler om be-

handling af personoplysningerne, går forud for reglerne i databeskyttelses-

loven.

Regler om behandling af personoplysningerne findes fortsat i et meget vidt

og forskelligt omfang i dansk lovgivning, herunder i bekendtgørelser. Det

er min opfattelse, at den pågældende regulering af behandling af personop-

lysninger inden for et bestemt ressort – f.eks. på sundhedsområdet – bør høre

under den pågældende minister, som har den største ekspertise til rådighed

inden for det bestemte område.

Om beretningens hovedafsnit 3.5 om tekniske krav til sikring af følsomme

og fortrolige personoplysninger har Justitsministeriet indhentet en udtalelse

fra Finansministeriet.

Vedrørende betragtningen om privacy by design, har Finansministeriet op-

lyst følgende:

”Som led i den fællesoffentlige digitaliseringsstrategi 2016-

2020 er der i juni 2019 i samarbejde mellem Datatilsynet, Ju-

stitsministeriet og Digitaliseringsstyrelsen udarbejdet en vejled-

ning om behandlingssikkerhed og databeskyttelse gennem de-

sign og standardindstillinger. I vejledningen gennemgås databe-

skyttelsesforordningens art. 32 om behandlingssikkerhed, og

der gives en introduktion til privacy-by-design og eksempler på

tekniske og organisatoriske foranstaltninger, der kan tages i

brug i den henseende.”

Hensynet til borgernes privatliv er et væsentligt princip, når it-

systemer udvikles og designes, og det er en grundlæggende præ-

mis, at de statslige myndigheder skal arbejde med privatlivsbe-

skyttelse. Statens it-projektmodel er obligatorisk at anvende for

statslige myndigheder, der igangsætter it-udviklingsprojekter. I

statens it-projektmodel forpligtes den statslige myndighed til at

gennemføre en sikkerhedsmæssig risikovurdering samt en kon-

sekvensvurdering vedrørende databeskyttelse for et kommende

it-udviklingsprojekt.

Som en del af den samlede risikoafdækning for et statsligt it-

projekt skal projektet analysere de risici, som relaterer sig til sik-

kerheden i og omkring it-løsningen. Såfremt it-løsningen skal

behandle personoplysninger, skal projektet rådføre sig med or-

ganisationens databeskyttelsesrådgiver (DPO) om behovet for

at gennemføre en konsekvensanalyse vedrørende databeskyt-

telse i overensstemmelse med databeskyttelsesforordningen.

Hvis konsekvensanalysen viser, at det kan have store konse-

kvenser for de registrerede, såfremt der sker en sikkerhedshæn-

delse i forbindelse med brugen af den nye it-løsning, skal Data-

tilsynet høres inden it-løsningen sættes i værk som foreskrevet i

databeskyttelsesforordningen. Databeskyttelsesforordningen

gælder for både private og offentlige it-udviklingsprojekter og

er således ikke begrænset til større statslige it-projekter.

Som en del af statens it-projektmodel er udarbejdet en tjekliste

vedr. cybersikkerhed, som medlemmer af Statens It-råd kan an-

vende, når der gennemføres risikovurderinger af statslige it-pro-

jekter.”

Vedrørende betragtningen om sikkerhedsstandarden ISO 27001 har Finans-

ministeriet oplyst følgende:

”Det har siden 2016 været et krav, at de statslige myndigheder

skal implementere og arbejde systematisk efter ISO27001, som

er en standard for effektiv informationssikkerhedsledelse. Der

er løbende gjort status på indsatsen, og det fremgår, at største-

delen af myndighederne endnu ikke er helt i mål.

For at sikre fuld implementering af ISO27001 følger Digitalise-

ringsstyrelsen i medfør af den nationale strategi for cyber- og

informationssikkerhed 2018-2021 op på statslige myndigheders

implementering hvert halve år. Myndigheder, der endnu ikke er

i mål, skal aflevere en handleplan, som beskriver hvilke indsat-

ser, der vil blive gennemført med henblik på at sikre fuld imple-

mentering af standarden. Handleplanerne forelægges regerin-

gen.

For at understøtte indsatsen med myndighedernes implemente-

ring af ISO27001 blev der i 2018 afholdt en fællesoffentlig kon-

ference om arbejdet med ISO27001. Der afholdes en konference

igen i oktober 2019.”

Vedrørende betragtningen om anbefalinger vedrørende kontrol af rollebase-

ret adgang har Finansministeriet oplyst følgende:

”Som led i den fællesoffentlige digitaliseringsstrategi 2016-

2020 etablerede Digitaliseringsstyrelsen i 2016 et klausulbibli-

otek med en lang række standardklausuler om sikkerhedsmæs-

sige krav. Formålet med standardklausulerne er at inspirere og

støtte myndighederne i forbindelse med indgåelse af it-kontrak-

ter og dermed forenkle arbejdet med at stille hensigtsmæssige

sikkerhedskrav i aftaler og it-kontrakter. Klausulbiblioteket er

årligt blevet opdateret i strategiperioden og i 2017 blev klausul-

bibliotek udvidet med et kravkatalog ”Sådan stiller du krav til

leverandører om informationssikkerhed”.

I 2019 videreudvikles klausulbiblioteket og tilhørende kravka-

talog i regi af den nationale cyber- og informationsstrategi 2018-

2021. Som led heri udarbejdes obligatoriske minimumskrav for

samfundskritiske statslige it-systemer i Danmark.”

Om beretningens ”øvrige bemærkninger” i hovedafsnit 3.6 har Justitsmi-

nisteriet i forhold til, om der bør igangsættes en udredning af, om der bør

være grænser for samtykke, indhentet en udtalelse fra Datatilsynet, der har

oplyst følgende:

”Gennemsigtighed er et gennemgående princip i databeskyttel-

sesforordningen. Det fremgår således af forordningens artikel 5,

stk. 1, litra a, at personoplysninger skal behandles lovligt, rime-

ligt og på en gennemsigtig måde i forhold til den registrerede

(princippet om lovlighed, rimelighed og gennemsigtighed).

Af præambelbetragtning nr. 39 til databeskyttelsesforordningen

fremgår i den forbindelse endvidere, at enhver behandling af

personoplysninger bør være lovlig og rimelig. Det bør være gen-

nemsigtigt for de pågældende fysiske personer, at personoplys-

ninger, der vedrører dem, indsamles, anvendes, tilgås eller på

anden vis behandles, og i hvilket omfang personoplysningerne

behandles eller vil blive behandlet. Princippet om gennemsig-

tighed tilsiger, at enhver information og kommunikation vedrø-

rende behandling af disse personoplysninger er lettilgængelig

og letforståelig, og at der benyttes et klart og enkelt sprog. Dette

princip vedrører navnlig oplysningen til de registrerede om den

dataansvarliges identitet og formålene med den pågældende be-

handling samt yderligere oplysninger for at sikre en rimelig og

gennemsigtig behandling for de berørte fysiske personer og de-

res ret til at få bekræftelse og meddelelse om de personoplys-

ninger vedrørende dem, der behandles.

Foruden det generelle princip om gennemsigtighed i forordnin-

gens artikel 5, stk. 1, litra a, findes der også nærmere regler om

gennemsigtighed i databeskyttelsesforordningens artikel 12, stk.

1, hvoraf fremgår, at den dataansvarlige skal træffe passende

foranstaltninger til at give enhver oplysning som omhandlet i ar-

tikel 13 og 14 om behandling til den registrerede i en kortfattet,

gennemsigtig, letforståelig og lettilgængelig form og i et klart

og enkelt sprog.

Endelig fremgår det af forordningens artikel 7, stk. 2, at hvis den

registreredes samtykke gives i en skriftlig erklæring, der også

vedrører andre forhold, skal en anmodning om samtykke fore-

lægges på en måde, som klart kan skelnes fra de andre forhold,

i en letforståelig og lettilgængelig form og i et klart og enkelt

sprog.

Princippet om gennemsigtighed kombineret med den højere

standard for den registreredes samtykke, som databeskyttelses-

forordningen efter Datatilsynets opfattelse har medført, sætter

herved de registrerede personer i bedre stand til at udøve kon-

trol over deres personoplysninger, herunder ved at give eller til-

bagekalde et samtykke på et informeret grundlag og gøre brug

af deres øvrige rettigheder end tidligere.

Datatilsynet har i øvrigt for nylig opdateret vejledningen om

samtykke, som er tilgængelig på tilsynets hjemmeside.”

Vedrørende anbefalingen om, at der foretages en kortlægning af eksiste-

rende offentlige registre, og at det i den forbindelse overvejes, om der i nogle

tilfælde registreres og opbevares mere data end nødvendigt, kan der henvi-

ses til det anførte i afsnit 7.3 i besvarelsen af spørgsmål nr. 147.

I relation til, om der bør udarbejdes en national strategi for den samlede of-

fentlige sektor, har Justitsministeriet indhentet en udtalelse fra Finansmini-

steriet, der har oplyst følgende:

”Der er med den fællesoffentlige digitaliseringsstrategi 2016-

2020 gennemført en række indsatser med henblik på at styrke

informationssikkerheden hos myndighederne på tværs af den of-

fentlige sektor, herunder en fælles indsats for udbredelse af

ISO27001, udarbejdelse af et klausulbibliotek med sikkerheds-

mæssige krav, jf. bemærkningerne ovenfor om kontrol af rolle-

baseret adgang, samt en indsats vedrørende informationssikker-

hed og god sikkerhedsadfærd for offentligt ansatte. Indsatserne

er forankret i en fællesoffentlig arbejdsgruppe med deltagelse af

bl.a. Digitaliseringsstyrelsen, Center for Cybersikkerhed, KL,

Danske Regioner og diverse styrelser og ministerier. Der henvi-

ses i øvrigt til besvarelsen angående 6.3 og 6.4.

Der er derudover lanceret en national strategi for cyber- og in-

formationssikkerhed 2018-2021. Strategien skal øge den tekni-

ske robusthed og sikre bedre beskyttelse af statens kritiske it-sy-

stemer, øge viden og kompetencer hos borgere, virksomheder

og myndigheder – bl.a. gennem oprettelsen af en in-formations-

portal – samt styrke den nationale koordinering og samarbejdet

om informationssikkerhed. Med strategien er igangsat 25 initia-

tiver af national karakter. Der er som led heri ligeledes igangsat

seks målrettede strategier for at løfte cyber- og informationssik-

kerheden inden for de samfundskritiske sektorer tele, finans,

energi, sundhed, transport og søfart.

Som led i strategien skal der gennemføres en national analyse af

cyber- og informationssikkerhedssituationen med henblik på at

vurdere, om iværksatte tiltag har den ønskede effekt og om or-

ganisering og aktiviteter imødegår udviklingen i trusselsbilleder

og de deraf vurderede risici mv. Den nationale strategi følges af

en styregruppe bestående af syv ministerier, hvor Finansmini-

steriet og Forsvarsministeriet har delt formandskab.

Vedrørende spørgsmålet om, hvorvidt brugen af cpr-nummeret bør gen-

nemgå en grundlæggende revidering, har Justitsministeriet indhentet en ud-

talelse fra social- og indenrigsministeren, der har oplyst følgende:

”Jeg kan henholde mig til de bemærkninger, som den daværende

social- og indenrigsminister afgav i forbindelse med besvarel-

sen af 14. januar 2016 af spørgsmål 147 fra Folketingets Rets-

udvalg.

Jeg finder således, at der fortsat ikke er behov for, at brugen af

personnummeret skal gennemgå en grundlæggende revidering.

Personnummeret er en ti-cifret kode, som tjener til entydigt at

identificere en person, f.eks. i et it-system. Uden personnumme-

ret var det ikke muligt hurtigt og enkelt at skelne den ene Jens

Hansen fra den anden.

Det har derimod aldrig været meningen med personnummeret,

at det skulle tjene som eneste middel til autentifikation – altså

til at fastslå eller bekræfte, at en person er den, vedkommende

udgiver sig for at være.

Autentifikation skal i stedet ske ved brug af Nem ID, som netop

er kendetegnet ved to-faktor kontrol, og som indebærer et helt

andet sikkerhedsniveau. NemID benyttes derfor også til auten-

tifikation i alle offentlige digitale løsninger og i vidt omfang

også i det private erhvervsliv. Social- og Indenrigsministeriet

stiller også krav om anvendelse af NemID i forbindelse med

virksomheders og myndigheders selvbetjeningsløsninger, hvor-

fra der foretages opslag i CPR.

At afskaffe personnummeret som samme, gennemgående sy-

stemnøgle i offentlige og private it-systemer vil være meget dyrt

og ineffektivt, og der er efter min opfattelse ikke behov for at

afskaffe personnummeret som systemnøgle og erstatte det af en

anden nøgle.”