Kort fortalt
Outsourcede persondata
Konklusion
Myndighederne har samlet set ydet en utilfredsstillende indsats for at sikre, at outsourcede følsomme og
fortrolige persondata om borgerne opbevares sikkert.
Konsekvensen er en øget risiko for, at borgernes følsomme
og fortrolige data kompromitteres.
Væsentligste resultater af undersøgelsen
• Myndighederne har samlet set haft en meget utilfreds-
stillende styring af databehandlere, som opbevarer føl-
somme eller fortrolige persondata, for de it-systemer,
som indgår i undersøgelsen. Dette er på trods af, at
kravene om at udarbejde risikovurderinger, indgå data-
behandleraftaler og føre tilsyn med databehandlere
har været gældende siden 2000. Særligt Udlændinge-
og Integrationsministeriet og Region Midtjylland har
haft en kritisabel styring af databehandlere. Finans-
ministeriet har overordnet set haft den bedste styring
af databehandlere sammenlignet med de øvrige
myndigheder.
• Justitsministeriet, herunder Datatilsynet, og Finans-
ministeriet har ikke i tilstrækkelig grad understøttet de
øvrige myndigheders styring af databehandlere.
Offentlige myndigheder indsamler og behandler derfor en
stor mængde oplysninger om borgerne. Mange af oplysnin-
gerne er af følsom eller fortrolig karakter. Samtidig er Dan-
mark et af de lande i EU, som outsourcer den største andel
af statslige it-systemer.
Formålet med denne undersøgelse er at vurdere, om myn-
dighederne har ydet en tilfredsstillende indsats for at sikre,
at outsourcede følsomme og fortrolige persondata om bor-
gerne opbevares sikkert.
Reglerne om behandling af personoplysninger er forankret
i databeskyttelsesforordningen (GDPR). GDPR har været gæl-
dende siden den 25. maj 2018 og afløste i Danmark person-
dataloven fra 2000. GDPR viderefører flere af reglerne om
databeskyttelse fra persondataloven. Det gælder bl.a. krav
om risikovurderinger, databehandleraftaler og tilsyn med
databehandlere.
Statsrevisorerne udtaler
”Det er kritisabelt, at de offentlige myndigheder ikke sikrer
borgernes persondata godt nok, når de outsourcer opbeva-
ring af data til eksterne leverandører. Styringen af de eks-
terne databehandlere skal styrkes, så borgernes personføl-
somme og fortrolige data sikres som forudsat i lovgivnin-
gen”.
Baggrund og formål med undersøgelsen
Danmark er et af de mest digitaliserede lande i verden, og
et stort udbud af digitale tjenester gør livet nemmere for
både borgere, virksomheder og myndigheder.
9%
5%
42 %
Risiko-
vurdering
42 %
Data-
behandler-
aftale
86 %
Der er en gældende databehandleraftale
Der er en gældende databehandleraftale,
men den er først indgået i undersøgelses-
perioden
Der er ikke en gældende databehandleraftale
23 %
Tilsyn
77 %
16 %
Der er udarbejdet en risikovurdering, inden
der er indgået en databehandleraftale
Der er udarbejdet en risikovurdering, men
først efter, at der er indgået en databehandler-
aftale
Der er ikke udarbejdet en risikovurdering
Der er udført ét eller flere tilsyn
Der er ikke udført tilsyn
Læs hele rapporten på
www.rigsrevisionen.dk.
Kontakt Rigsrevisionens
pressechef Lisbeth Sørensen på tlf. 33 92 85 06/[email protected]
eller Statsrevisorernes sekretariatschef Gitte Korff på tlf. 33 37 59 85/
[email protected] for yderligere information.