Retsudvalget 2019-20
REU Alm.del Bilag 413
Offentligt
2196493_0001.png
Maj 2020
— 15/2019
Rigsrevisionens beretning afgivet
til Folketinget med Statsrevisorernes
bemærkninger
Outsourcede
persondata
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
15/2019
Beretning om
outsourcede persondata
Statsrevisorerne fremsender denne beretning med
deres bemærkninger til Folketinget og vedkommende
minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,
i lov om revisionen af statens regnskaber m.m.
København 2020
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og vedkom-
mende minister.
Alle ministre undtagen udenrigsministeren afgiver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.
På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-
ningen, hvilket forventes at ske i november 2020.
Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles
i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar må-
ned – i dette tilfælde Endelig betænkning over statsregnskabet 2019, som afgives i februar 2021.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0003.png
Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:
Karakterskala
Positiv kritik
finder det meget/særdeles positivt
finder det positivt
finder det tilfredsstillende/er tilfredse med
finder det ikke helt tilfredsstillende
finder det utilfredsstillende/er utilfredse med
påpeger/understreger/henstiller/forventer
beklager/finder det bekymrende/foruroligende
kritiserer/finder det kritisabelt/kritiserer skarpt/og indskærper
påtaler/påtaler skarpt
påtaler skarpt og henleder særligt Folketingets opmærksomhed på
Kritik under middel
Middel kritik
Skarp kritik
Skarpeste kritik
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Tlf.: 3337 5987
[email protected]
www.ft.dk/statsrevisorerne
Yderligere eksemplarer kan
købes ved henvendelse til:
Rosendahls Lager og Logistik
Vandtårnsvej 83A
2860 Søborg
Tlf.: 4322 7300
[email protected]
www.rosendahls.dk
ISSN 2245-3008
ISBN trykt 978-87-7434-663-0
ISBN online 978-87-7434-664-7
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0004.png
Statsrevisorernes bemærkning
Statsrevisorernes
bemærkning
Statsrevisorerne
Beretning om outsourcede persondata
Danmark er et af de mest digitaliserede lande i verden. Digitaliseringen
betyder, at de offentlige myndigheder indsamler og behandler mange op-
lysninger om borgerne. En stor del af oplysningerne er af følsom eller for-
trolig karakter. Det kan derfor have store negative konsekvenser for såvel
den enkelte borger som for den offentlige forvaltning, hvis oplysningerne
ender i de forkerte hænder eller går tabt.
Danmark er blandt de lande i EU, som outsourcer den største andel af
statslige it-systemer. Outsourcing betyder, at en opgave, fx drift, vedlige-
holdelse og udvikling af it-tjenester, overlades til en ekstern leverandør,
fx en privat virksomhed eller en anden offentlig myndighed. Outsourcing
muliggør på den ene side billigere drift og bedre udnyttelse af ekspertise,
men ændrer samtidig styringsopgaven fra at være operationel til at være
en kontraktbaseret styring af relationen til de eksterne databehandlere.
I denne undersøgelse har Rigsrevisionen gennemgået 148 it-systemer,
hvor opbevaringen af persondata er outsourcet af myndigheder på alle
ministerområder, undtagen Udenrigsministeriet, og af Region Midtjylland.
Statsrevisorerne påtaler og finder det meget alvorligt, at myndighe-
dernes styring ikke har sikret, at outsourcede følsomme og fortrolige
persondata opbevares sikkert hos de eksterne databehandlere. Stats-
revisorerne påtaler i den forbindelse, at myndighederne ikke har
overholdt reglerne om databeskyttelse, herunder krav om at udarbej-
de risikovurderinger, indgå databehandleraftaler og føre tilsyn med
databehandlerne, som har været gældende siden 2000.
Statsrevisorerne bemærker, at særligt Udlændinge- og Integrations-
ministeriet og Region Midtjylland har haft en kritisabel styring af eks-
terne databehandlere, mens Finansministeriet har haft den bedste
styring af databehandlere.
15. maj 2020
Henrik Thorup*
Klaus Frandsen
Villum Christensen
Frank Aaen
Britt Bager
Flemming Møller Mortensen
* Statsrevisor Henrik Thorup
har ikke deltaget ved behand-
lingen af denne sag på grund
af inhabilitet.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0005.png
Statsrevisorernes bemærkning
Statsrevisorerne finder det utilfredsstillende, at Justitsministeriet,
herunder Datatilsynet, og Finansministeriet ikke i tilstrækkelig grad
har understøttet de øvrige myndigheders styring af databehandlere.
Statsrevisorerne har hæftet sig ved disse resultater fra undersøgelsen:
Myndighederne har ikke udarbejdet en risikovurdering, inden de har
indgået en databehandleraftale, for 58 % af de it-systemer, der indgår
i undersøgelsen. Myndighederne har således ikke haft grundlag for at
fastsætte passende sikkerhedsforanstaltninger eller planlægge deres
tilsyn.
Myndighederne har kun i 6 ud af 17 tilfælde, hvor de benytter globale
cloud-udbydere til at opbevare persondata, udarbejdet en risikovur-
dering, og flere myndigheder har i øvrigt ikke haft fuld klarhed over
indholdet af de standardvilkår, som de har accepteret.
Myndighederne har ikke indgået en databehandleraftale for 14 % af
it-systemerne, selv om de har outsourcet opbevaringen af følsomme
eller fortrolige persondata.
Myndighederne har ikke ført tilsyn med databehandlerne for 23 % af
systemerne og har ikke undersøgt, om databehandlerne overholder
vilkårene i databehandleraftalen og databeskyttelsesreglerne.
Myndighederne har for 24 % af systemerne ikke haft kendskab til alle
de underdatabehandlere, der har behandlet deres følsomme og for-
trolige persondata.
Justitsministeriet har ikke udgivet hverken en bekendtgørelse eller en
vejledning om lokationskravet, som bestemmer, hvilke it-systemer
der af hensyn til statens sikkerhed skal opbevares i Danmark.
Væsentlige vejledninger fra Justitsministeriet og Finansministeriet ud-
kom først, efter at myndighederne skulle have implementeret GDPR
(databeskyttelsesforordningen).
Datatilsynet har ikke ført et risikobaseret tilsyn og har ikke opdateret
sin strategi, siden GDPR blev gældende i maj 2018. Datatilsynet har
heller ikke gennemført de tilsyn hos offentlige myndigheder og priva-
te virksomheder, som var planlagt. Det har medført lav risiko for at
blive opdaget i overtrædelser af reglerne om databeskyttelse.
Statsrevisorerne finder det bekymrende, at der stadig er så store proble-
mer med sikring af følsomme og fortrolige persondata. Der er gået 8 år
siden det største læk af fortrolige persondata og mere end 5 år, siden
Statsrevisorerne skarpt kritiserede, at en række statslige institutioner ik-
ke i tilstrækkeligt omfang beskytter fortrolige oplysninger om personer
og virksomheder i
beretning nr. 1/2014 om statens behandling af fortrolige
oplysninger om personer og virksomheder.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Indholdsfortegnelse
1. Introduktion og konklusion ....................................................................................................... 1
1�½1. Formål og konklusion ....................................................................................................................... 1
1�½2. Baggrund ............................................................................................................................................... 5
1�½3. Revisionskriterier, metode og afgrænsning ........................................................................ 11
2. Myndighedernes styring af databehandlere .................................................................... 14
2�½1. Risikovurderinger ........................................................................................................................... 15
2�½2. Databehandleraftaler ................................................................................................................... 19
2�½3. Tilsyn .................................................................................................................................................... 23
3. Understøttelse af myndighedernes styring af databehandlere ................................. 32
3�½1. Vejledningsindsats ......................................................................................................................... 33
3�½2. Datatilsynets tilsyn ......................................................................................................................... 39
Bilag 1. Metodisk tilgang ................................................................................................................................. 44
Bilag 2. Ordliste................................................................................................................................................... 60
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Rigsrevisionen har selv taget initiativ til denne undersøgelse og af-
giver derfor beretningen til Statsrevisorerne i henhold til § 17, stk. 2,
i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012.
Rigsrevisionen har revideret regnskaberne efter § 2, stk. 1, nr. 1,
jf. § 3 i rigsrevisorloven.
Rigsrevisionen har gennemgået regnskaberne efter § 4, stk. 1, nr. 1,
jf. § 6 i rigsrevisorloven.
Beretningen vedrører Region Midtjylland og alle ministerområder
med undtagelse af Udenrigsministeriet, dvs. finanslovens § 5 og
§ 7-29. På alle de omfattede ministerområder har der været ud-
skiftning på ministerposten i undersøgelsesperioden 2016-2020.
Rigsrevisionen har derfor valgt ikke at opliste alle ministre.
Beretningen har i udkast været forelagt de omfattede ministerier og
Region Midtjylland, hvis bemærkninger er afspejlet i beretningen.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Introduktion og konklusion |
1
1. Introduktion og
konklusion
1.1.
Formål og konklusion
1. Data om dig er under angreb. Personlige oplysninger om borgere er ifølge Center for
Cybersikkerhed i høj kurs hos cyberkriminelle og har været det gennem flere år. Hvis
borgeres data ender hos de forkerte, kan det fx medføre tab af omdømme, identitets-
tyveri eller afpresning, og hvis data går tabt, kan det betyde, at det offentlige ikke kan
levere en ordentlig service til borgerne.
2. Danmark er et af de mest digitaliserede lande i verden. Et stort udbud af digitale
tjenester gør livet nemmere for både borgere, virksomheder og myndigheder, fx i
form af borger.dk, NemID og TastSelv på skat.dk. Digitaliseringen betyder, at de of-
fentlige myndigheder indsamler og behandler en stor mængde oplysninger om bor-
gerne. Mange af oplysningerne er af følsom eller fortrolig karakter, fx cpr-numre og
oplysninger om sundhed, politisk overbevisning og strafbare forhold. Det kan derfor
have store negative konsekvenser for såvel den enkelte borger som den offentlige
forvaltning, hvis oplysningerne ender i de forkerte hænder eller går tabt.
3. Ifølge
Strategi for it-styring i staten
(2017) er Danmark blandt de lande i EU, som
outsourcer den største andel af statslige it-systemer. Outsourcing giver på den ene
side mulighed for billigere drift og bedre udnyttelse af ekspertise, men stiller på den
anden side øgede krav til myndighedernes styring af databehandlere, der behandler
data om borgerne.
4. Reglerne om behandling af personoplysninger er forankret i databeskyttelsesfor-
ordningen (herefter GDPR), som EU vedtog i april 2016. GDPR har været gældende
siden den 25. maj 2018 og afløste i Danmark persondataloven fra 2000, som imple-
menterede EU’s databeskyttelsesdirektiv i dansk lov. GDPR viderefører flere af reg-
lerne om databeskyttelse fra persondataloven. Det gælder bl.a. krav om, at den data-
ansvarlige skal udarbejde risikovurderinger, indgå databehandleraftaler og føre tilsyn
med databehandlere.
GDPR indførte dog også nye regler på området. Det gælder fx kravet om at udpege
en databeskyttelsesrådgiver og muligheden for at give betydelige bøder, hvis regler-
ne ikke bliver overholdt. De nye regler og muligheden for bøder har ført til en øget op-
mærksomhed om håndteringen af persondata både i det private og i den offentlige
forvaltning.
Outsourcing
Outsourcing betyder, at en op-
gave, fx drift, vedligeholdelse
og udvikling af it-tjenester,
overlades til en ekstern leve-
randør. Det kan enten være en
privat virksomhed eller en an-
den offentlig myndighed.
Et eksempel på outsourcing er
Justitsministeriet, der har hy-
ret en privat it-leverandør til
at opbevare data fra Kriminal-
registeret.
GDPR
GDPR er forkortelsen for Ge-
neral Data Protection Regula-
tion. Den danske oversættelse
er databeskyttelsesforordnin-
gen.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2
| Introduktion og konklusion
5. Denne undersøgelse går på tværs af hele staten og inkluderer regionerne i form af
Region Midtjylland som case. Vi har inkluderet en region, fordi regionerne håndterer
store mængder helbredsoplysninger om borgerne.
Myndighederne
”Myndighederne” er i denne
undersøgelse de 17 ministeri-
er, som indgår i undersøgel-
sen, og Region Midtjylland.
6. Formålet med undersøgelsen er at vurdere, om myndighederne har ydet en tilfreds-
stillende indsats for at sikre, at outsourcede følsomme og fortrolige persondata om
borgerne opbevares sikkert. Vi besvarer følgende spørgsmål i beretningen:
Har myndighederne haft en tilfredsstillende styring af databehandlere, som opbe-
varer følsomme eller fortrolige persondata?
Har Justitsministeriet, herunder Datatilsynet, og Finansministeriet i tilstrækkelig
grad understøttet de øvrige myndigheders styring af databehandlere?
Rigsrevisionen har selv taget initiativ til undersøgelsen i februar 2019.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0010.png
Introduktion og konklusion |
3
Hovedkonklusion
Myndighederne har samlet set ydet en utilfredsstillende indsats for at sik-
re, at outsourcede følsomme og fortrolige persondata om borgerne opbe-
vares sikkert. Konsekvensen er en øget risiko for, at borgernes følsomme
og fortrolige data kompromitteres.
Myndighederne har samlet set haft en meget utilfredsstillende styring af databe-
handlere, som opbevarer følsomme eller fortrolige persondata, for de it-systemer,
som indgår i undersøgelsen. Dette er på trods af, at kravene om at udarbejde risi-
kovurderinger, indgå databehandleraftaler og føre tilsyn med databehandlere har
været gældende siden 2000. Særligt Udlændinge- og Integrationsministeriet og
Region Midtjylland har haft en kritisabel styring af databehandlere. Finansministe-
riet har overordnet set haft den bedste styring af databehandlere sammenlignet
med de øvrige myndigheder
Myndighederne har ikke udarbejdet en risikovurdering for 58 % af deres it-systemer,
inden de har indgået en databehandleraftale. Dermed har myndighederne for største-
delen af systemerne ikke haft et grundlag for at fastsætte passende sikkerhedsforan-
staltninger i databehandleraftalerne og planlægge deres tilsyn. Det finder Rigsrevisio-
nen kritisabelt. Rigsrevisionen finder det særligt uhensigtsmæssigt, at myndighederne
kun har udarbejdet en risikovurdering i 6 ud af de 17 tilfælde, hvor de benytter globale
cloud-udbydere til at opbevare persondata. Det skyldes, at myndighederne skal god-
kende cloud-udbydernes standardvilkår, der som udgangspunkt ikke kan tilpasses de
enkelte myndigheders behov. Rigsrevisionen finder det desuden utilfredsstillende, at
flere myndigheder ikke har haft fuld klarhed over indholdet af de standardvilkår, som
de har accepteret, når de benytter globale cloud-udbydere til at opbevare persondata.
Myndighederne havde ikke indgået en databehandleraftale for 14 % af systemerne, selv
om de havde outsourcet opbevaringen af følsomme eller fortrolige persondata. Myndig-
hederne havde i disse tilfælde ikke et juridisk grundlag for at kunne bestemme, hvor-
dan databehandleren må behandle deres persondata. For en tredjedel af disse syste-
mer har myndighederne imidlertid indgået en databehandleraftale undervejs i Rigsre-
visionens undersøgelse, selv om data var outsourcet inden.
Myndighederne har ikke ført tilsyn med deres databehandlere for 23 % af systemerne
og har dermed ikke undersøgt, om databehandlerne faktisk overholder vilkårene i da-
tabehandleraftalen og databeskyttelsesreglerne. For 40 % af de tilsyn, der er udført,
har myndighederne ikke kunnet dokumentere, at de har fulgt op på tilsynenes resulta-
ter og taget stilling til, om de skal reagere over for databehandleren. Disse tilsyn har
dermed ikke har tjent deres formål.
Manglende tilsyn kan have den konsekvens, at myndigheden ikke ved, om behandlin-
gen af data sker inden for databehandleraftalens og databeskyttelsesreglernes rammer.
Rigsrevisionens undersøgelse viser, at myndighederne ikke har haft kendskab til alle
underdatabehandlere for 24 % af de systemer, hvor der benyttes underdatabehandle-
re. Det betyder, at underdatabehandlere i praksis har behandlet følsomme eller fortro-
lige persondata uden myndighedernes forudgående viden.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0011.png
4
| Introduktion og konklusion
Justitsministeriet, herunder Datatilsynet, og Finansministeriet har ikke i tilstræk-
kelig grad understøttet de øvrige myndigheders styring af databehandlere
Justitsministeriet, Datatilsynet og Finansministeriet har udgivet 20 vejledninger, som
de vurderede var nødvendige for at understøtte myndighederne i deres implemente-
ring af GDPR. Det finder Rigsrevisionen positivt.
Rigsrevisionen finder det imidlertid uhensigtsmæssigt, at 8 vejledninger først udkom,
efter at myndighederne skulle have implementeret GDPR. Væsentlige vejledninger om
udarbejdelsen af risikovurderinger og brugen af cloud-services udkom først mere end
1 år efter, at GDPR blev gældende. Desuden finder Rigsrevisionen det utilfredsstillende,
at Justitsministeriet endnu ikke har udgivet hverken en bekendtgørelse eller en vejled-
ning om lokationskravet (tidligere krigsreglen), som bestemmer, hvilke it-systemer der
af hensyn til statens sikkerhed skal opbevares i Danmark.
Datatilsynet har ikke ført et risikobaseret tilsyn. Datatilsynet har ikke udarbejdet risiko-
analyser til at understøtte planlægningen af sit tilsyn og har ikke opdateret sin strate-
gi, siden GDPR blev gældende i maj 2018. Datatilsynet har ikke kunnet dokumentere,
at de tilsyn, som Datatilsynet har planlagt, er udvalgt på baggrund af en risikobetragt-
ning. Det betyder, at det er usikkert, om Datatilsynet har anvendt de tilgængelige re-
surser til at føre tilsyn, der hvor risikoen er størst.
Datatilsynet har kun afsluttet 8 tilsyn med offentlige myndigheder og 14 tilsyn med pri-
vate virksomheder, siden GDPR blev gældende. Det betyder, at der har været få afgø-
relser, som myndighederne kan bruge som fortolkningsbidrag i arbejdet med at sikre
en tilstrækkelig styring af databehandlere og en korrekt implementering af GDPR. Det
betyder også, at risikoen for at blive opdaget i overtrædelser af GDPR – og dermed til-
synenes præventive effekt – har været relativt lav.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Introduktion og konklusion |
5
1.2. Baggrund
7. Offentlige myndigheder indsamler og behandler data om landets borgere, når de
skal forvalte deres opgaver og sikre en effektiv service. Hvor informationer om bor-
gere tidligere blev opbevaret i arkivskabe og mapper, er data om borgere nu primært
digitale og opbevares på servere og i datacentre.
8. Der er flere eksempler på, at borgernes oplysninger er blevet kompromitteret, når
offentlige myndigheder har outsourcet oplysningerne til eksterne databehandlere. I
2012 fik hackere adgang til følsomme personoplysninger fra Rigspolitiet, SKAT, CPR-
kontoret og Moderniseringsstyrelsen ved at hacke myndighedernes databehandler
CSC. Roskilde Kommune mistede i 2018 over 80.000 dokumenter fra sit sundheds-
og omsorgssystem, fordi kommunens databehandler KMD benyttede en underdata-
behandler i Indien, som havde et servernedbrud, og en teknisk fejl fra KMD’s side gjor-
de, at den relevante backup ikke var blevet foretaget korrekt. Samtidig har Center for
Cybersikkerhed hvert år i perioden 2016-2019 vurderet truslen for cyberkriminalitet
og cyberspionage mod Danmark til at være meget høj.
9. Datatilsynet har i flere tilfælde, inden GDPR blev gældende, konstateret problemer
med, at offentlige myndigheder enten ikke har indgået databehandleraftaler eller ik-
ke har ført tilsyn med, om databehandleraftalerne er blevet overholdt. Rigsrevisionen
har desuden i en beretning fra 2016 om styring af it-sikkerheden hos it-leverandører
kritiseret, at nogle offentlige myndigheder ikke har udarbejdet risikovurderinger, eller
at risikovurderingerne ikke har været tilstrækkelige, når myndighederne outsourcede
it-drift til eksterne it-leverandører.
10. Det har siden 2016 været et krav for statslige myndigheder, at de skal overholde
sikkerhedsstandarden ISO 27001, mens regionerne har været forpligtede til at arbej-
de efter principperne i ISO 27001. ISO 27001 er en international standard for styring
af informationssikkerhed, som skal understøtte myndighederne i at beskytte værdi-
fulde informationer, herunder personoplysninger. Standarden forpligter bl.a. de stats-
lige myndigheder til at sikre, at leverandører opretholder det aftalte niveau af informa-
tionssikkerhed. Digitaliseringsstyrelsen følger halvårligt op på, hvor langt de statslige
myndigheder er med at implementere ISO 27001. En selvevaluering blandt statslige
myndigheder i 2019 viste, at 37 % af de statslige myndigheder stadig ikke har et til-
strækkeligt modenhedsniveau for leverandørstyring.
11. Samlet set giver det et billede af, at offentlige myndigheder i flere tilfælde ikke har
haft en tilstrækkelig styring af databehandlere.
Dataansvarlig, databehandler og underdatabehandler
Informationssikkerhed
Informationssikkerhed er en
bred betegnelse for de samle-
de foranstaltninger til at sikre
informationer mod at gå tabt
eller falde i forkerte hænder. I
arbejdet indgår bl.a. organise-
ring af sikkerhedsarbejdet,
processer for behandling af
data, styring af leverandører
og tekniske sikkerhedsforan-
staltninger.
12. Når offentlige myndigheder indsamler personoplysninger, bliver de dataansvarli-
ge. Som dataansvarlig har myndighederne ansvaret for, at personoplysninger behand-
les sikkert. Opbevaring og behandling af personoplysninger kræver den nødvendige
it-infrastruktur og ekspertise. Derfor kan det være hensigtsmæssigt for myndigheder-
ne – både sikkerhedsmæssigt og økonomisk – at outsource opbevaringen eller andre
behandlinger af personoplysninger til private virksomheder eller specialiserede myn-
digheder, fx Statens It.
Dataansvarlig
En dataansvarlig er den juridi-
ske eller fysiske person, priva-
te virksomhed, offentlige myn-
dighed mv., der bestemmer, til
hvilket formål og hvordan per-
sonoplysningerne må behand-
les.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
6
| Introduktion og konklusion
Databehandler
En databehandler er den juri-
diske eller fysiske person, pri-
vate virksomhed, offentlige
myndighed mv., som behand-
ler personoplysninger på veg-
ne af den dataansvarlige. Da-
tabehandleren har adgang til
at behandle data, men bestem-
mer hverken formål med be-
handlingen, eller hvordan be-
handlingen sker. Databehand-
leren handler kun på baggrund
af instruks fra den dataansvar-
lige.
Hvis en offentlig myndighed outsourcer opbevaringen eller en anden behandling af
personoplysninger til fx en privat virksomhed, indgår de i en databehandlerrelation,
hvor den offentlige myndighed er dataansvarlig, og den private virksomhed er data-
behandler. Selv om data opbevares af en databehandler, er det stadig den dataan-
svarlige, der er ansvarlig for at sikre, at databehandleren stiller de fornødne garantier
for, at der gennemføres de rette sikkerhedsmæssige foranstaltninger for opbevarin-
gen af data. Det er også alene den dataansvarlige, der beslutter, hvordan databehand-
leren må behandle data og til hvilke formål.
En databehandler kan anvende underdatabehandlere til at varetage dele af sin data-
behandling. Det kan fx være at stille den serverplads til rådighed, hvor personoplys-
ningerne opbevares. Det kan også være vedligeholdelse af databehandlerens it-infra-
struktur eller support, hvis behandling af data er en central del af opgaven. Underda-
tabehandlere kan også selv anvende underdatabehandlere. Der kan derfor opstå da-
tabehandlerkæder, hvor det kan være svært for den dataansvarlige at bevare et sam-
let overblik. Figur 1 viser et eksempel på en databehandlerkæde.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0014.png
Introduktion og konklusion |
7
Figur 1
Eksempel på en databehandlerkæde
Borger
Myndigheden indsamler data om
borgere og bliver dataansvarlig
Dataansvarlig
Myndigheden kan overlade behandling
af data til en databehandler
Databehandler
Databehandleren kan overlade opbevaring,
vedligeholdelse, support eller anden
behandling til underdatabehandlere
Underdatabehandler 1
(opbevaring)
Underdatabehandler 2
(vedligeholdelse)
Underdatabehandler 3
(support)
Underdatabehandleren
kan benytte under-
underdatabehandlere
til at behandle person-
data
1
2
3
1
2
3
1
2
3
Under-underdatabehandlere
Under-underdatabehandlere
Under-underdatabehandlere
Kilde:
Rigsrevisionen.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0015.png
8
| Introduktion og konklusion
Regler om databeskyttelse
Databeskyttelsesloven
Databeskyttelsesloven (lov
nr. 502 af 23. maj 2018) trådte
i kraft samtidig med GDPR
(25. maj 2018) og supplerer
GDPR i en dansk kontekst.
Databeskyttelsesloven inde-
holder bl.a. en bestemmelse
om, hvilke systemer der
skal
opbevares i Danmark (loka-
tionskravet), og fastsætter
nærmere regler for Datatilsy-
nets arbejde.
Retshåndhævelsesloven
13. Reglerne for behandling af personoplysninger er forankret i GDPR, som offentlige
myndigheder og private virksomheder har skullet overholde siden den 25. maj 2018.
GDPR suppleres i Danmark af databeskyttelsesloven, som dog ikke fastsætter andre
regler på de undersøgte områder. Retshåndhævende myndigheders (fx politiet og
domstolene) behandling af personoplysninger er reguleret i retshåndhævelsesloven,
som trådte i kraft i april 2017. Reglerne i retshåndhævelsesloven er imidlertid i over-
ensstemmelse med reglerne i GDPR på de punkter, som indgår i denne undersøgelse.
Derfor er reglerne i GDPR udgangspunktet for undersøgelsen.
14. Vi har i undersøgelsen fokus på myndighedernes risikovurderinger, databehand-
leraftaler og tilsyn. Vi fokuserer på netop disse 3 elementer, da de dækker hele forlø-
bet for outsourcing af persondata, dvs. før, under og efter, at databehandlingen er over-
ladt til databehandleren.
15. I GDPR er omdrejningspunktet en risikobaseret tilgang til beskyttelse af persondata.
Det betyder, at den dataansvarlige – allerede inden en behandling af persondata på-
begyndes, eller persondata outsources – skal overveje de risici, der kan forekomme
ved behandlingen. Overvejelserne skal ligge til grund for, hvilket sikkerhedsniveau der
er nødvendigt, og hvilke forholdsregler der skal tages for at imødegå de identificere-
de risici – hverken mere eller mindre. Dette sker i form af en risikovurdering.
Resultatet af risikovurderingen skal i første omgang ligge til grund for beslutningen om,
hvorvidt persondata i det hele taget skal outsources. Hvis persondata outsources,
skal risikovurderingen ligge til grund for valget af sikkerhedsforanstaltninger i databe-
handleraftalen og være styrende for formen og hyppigheden af tilsynet med databe-
handleren. Dette er illustreret i figur 2. Hvis der fx er tale om et outsourcet it-system,
som indeholder få ikke-følsomme personoplysninger, bør både sikkerhedskravene i
databehandleraftalen og tilsynet være af mindre omfang. Hvis der omvendt outsour-
ces følsomme oplysninger om mange borgeres helbred, bør myndigheden sikre til-
svarende højere sikkerhedskrav i databehandleraftalen og føre et mere omfattende
og hyppigere tilsyn med databehandleren.
Retshåndhævelsesloven (lov
nr. 410 af 27. april 2017) trådte
i kraft den 27. april 2017.
Retshåndhævelsesloven gæl-
der for retshåndhævende
myndigheders (politi, anklage-
myndighed, Kriminalforsorgen,
Den Uafhængige Politiankla-
gemyndighed og domstolene)
behandling af personoplysnin-
ger på det strafferetlige om-
råde og træder i stedet for
GDPR og databeskyttelseslo-
ven. Mange af kravene i rets-
håndhævelsesloven er imid-
lertid sammenfaldende med
reglerne i GDPR, herunder reg-
lerne om risikovurderinger, da-
tabehandleraftaler og tilsyn.
Figur 2
Relationen mellem risikovurdering, databehandleraftale og tilsyn
RISIKOVURDERING
Kilde:
Rigsrevisionen.
DATABEHANDLERAFTALE
TILSYN
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Introduktion og konklusion |
9
16. GDPR’s regler om risikovurderinger, databehandleraftaler og tilsyn er i store træk
en videreførelse af persondatalovens regler på området, som har været gældende si-
den 2000. Det er derfor ikke nyt, at myndighederne skal udarbejde risikovurderinger,
indgå databehandleraftaler og føre tilsyn.
Figur 3 viser en sammenfatning af reglerne om risikovurderinger, databehandlerafta-
ler og tilsyn før og efter, at GDPR blev gældende. Det fremgår af figuren, at det også
var et krav i persondataloven, at der skulle udarbejdes risikovurderinger. Kravet blev
imidlertid mere eksplicit med GDPR. Desuden blev det tydeliggjort, at risikovurderin-
gerne skal tage udgangspunkt i risici for de registreredes rettigheder og ikke blot i ri-
sici for myndighedens egen forretning. Med GDPR blev der samtidig indført en række
minimumskrav til indholdet af en databehandleraftale. Det gælder fx, at det skal frem-
gå af databehandleraftalen, at eventuelle underdatabehandlere skal overholde de
samme krav som databehandleren. Endelig skal den dataansvarlige også under GDPR
leve op til kravet om ansvarlighed og kunne påvise, at behandlingen af personoplys-
ninger er i overensstemmelse med databeskyttelsesreglerne. Det betyder ifølge Da-
tatilsynet, at den dataansvarlige skal føre tilsyn med sine databehandlere.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0017.png
10
| Introduktion og konklusion
Figur 3
Regler om risikovurderinger, databehandleraftaler og tilsyn før og efter GDPR
24. oktober 1995
Databeskyttelsesdirektivet
træder i kraft i EU
31. maj 2000
Folketinget vedtager persondataloven, som
implementerer databeskyttelsesdirektivet i Danmark
April 2016
GDPR bliver vedtaget i EU
25. maj 2018
GDPR er gældende, og Folketinget
vedtager databeskyttelsesloven
Persondataloven
GDPR
Databeskyttelsesloven
DATABESKYT-
TELSESREGLER
• Den dataansvarlige skal træffe de fornødne sikkerheds-
foranstaltninger for behandlingen af personoplysninger
og dermed udarbejde en risikovurdering.
§ 41, stk. 3, i persondataloven
• Det fremgår mere eksplicit, at den dataansvar-
lige skal risikovurdere behandlingen af person-
oplysninger for at afgøre, hvilke foranstaltninger
der skal iværksættes.
• Det er tydeliggjort, at risikovurderingen skal
tage udgangspunkt i risici for de registreredes
rettigheder.
Artikel 24, 25 og 32 mfl. i GDPR
RISIKO-
VURDERING
• Den dataansvarlige skal indgå en databehandleraftale
med sin databehandler.
§ 42, stk. 2, i persondataloven
DATABEHANDLER-
AFTALE
• Den dataansvarlige skal indgå en databehand-
leraftale med sin databehandler.
• Der er en række minimumskrav for indholdet
af en databehandleraftale.
Artikel 28 i GDPR
• Den dataansvarlige skal påse behandlingssikkerheden
hos databehandleren.
§ 42, stk. 1, i persondataloven
• Den dataansvarlige skal påvise overholdelsen
af databeskyttelsesreglerne.
Artikel 24 i GDPR
TILSYN
Kilde:
Rigsrevisionen.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Introduktion og konklusion |
11
1.3. Revisionskriterier, metode og afgrænsning
Revisionskriterier
17. Formålet med undersøgelsen er at vurdere, om myndighederne har ydet en tilfreds-
stillende indsats for at sikre, at outsourcede følsomme og fortrolige persondata om
borgerne opbevares sikkert. Undersøgelsen inkluderer regionerne i form af Region
Midtjylland som case. Region Midtjylland adskiller sig ikke umiddelbart fra de andre
regioner på parametre som typen af følsomme og fortrolige persondata, typer af da-
tabehandlinger o.l. Vi har inkluderet en region, fordi regionerne håndterer store mæng-
der følsomme personoplysninger fra sundhedssektoren.
18. I
kapitel 2
undersøger vi, om myndighederne har haft en tilfredsstillende styring af
databehandlere, som opbevarer følsomme eller fortrolige persondata. Vi undersøger
dermed ikke, om myndighederne generelt set overholder reglerne i GPDR, eller om it-
sikkerheden i praksis er tilstrækkelig hos databehandlerne.
Vi undersøger for det første, om myndighederne har udarbejdet en risikovurdering,
når de outsourcer opbevaringen af følsomme eller fortrolige personoplysninger. For
det andet undersøger vi, om myndighederne har indgået databehandleraftaler med
deres databehandlere, som opbevarer følsomme eller fortrolige persondata. For det
tredje undersøger vi, om myndighederne har ført tilsyn med deres databehandlere,
herunder om de har haft kendskab til de underdatabehandlere, der behandler deres
følsomme eller fortrolige personoplysninger. Størstedelen af kriterierne tager udgangs-
punkt i de gældende regler under GDPR og databeskyttelsesloven, som alle myndig-
heder er forpligtede til at overholde, uanset hvornår de har taget deres it-systemer i
brug, eller hvornår systemerne er outsourcet. Disse kriterier suppleres af kriterier,
som baserer sig på Datatilsynets vejledninger og Rigsrevisionens opfattelse af, hvad
en hensigtsmæssig styring af databehandlere indebærer. Baggrunden for de enkelte
kriterier er beskrevet i de enkelte afsnit.
19. I
kapitel 3
undersøger vi, om Justitsministeriet, herunder Datatilsynet, og Finans-
ministeriet i tilstrækkelig grad har understøttet de øvrige myndigheders styring af da-
tabehandlere.
Vi undersøger for det første, om de 3 myndigheder rettidigt har vejledt de øvrige myn-
digheder i forbindelse med implementeringen af GDPR. For det andet undersøger vi,
om Datatilsynet har ført et risikobaseret tilsyn.
20. Det er til enhver tid de enkelte myndigheders ansvar at overholde gældende lov-
givning, herunder GDPR. Ikke desto mindre kan de myndigheder, som har en central
rolle på området og dermed den største ekspertise, understøtte de øvrige myndighe-
der i at overholde databeskyttelsesreglerne. En god understøttelse kan medvirke til,
at myndighederne er bedre rustede til at overholde de gældende regler.
21. Justitsministeriet, herunder Datatilsynet, og Finansministeriet har alle centrale rol-
ler, hvad angår datasikkerhed, herunder styring af databehandlere. Justitsministeriet
har ressortansvaret for GDPR og databeskyttelsesloven. Justitsministeriet har der-
med mulighed for at vejlede myndighederne om lovgivningen, hvis der viser sig et be-
hov for det.
Følsomme person-
oplysninger
Følsomme personoplysninger
er ifølge GDPR oplysninger
om race og etnisk oprindelse,
politisk, religiøs eller filosofisk
overbevisning, fagforenings-
mæssige tilhørsforhold, gene-
tisk og biometrisk data, hel-
bred og seksuel orientering.
Behandling af disse personop-
lysninger kræver en højere
grad af beskyttelse end almin-
delige personoplysninger.
Fortrolige person-
oplysninger
Fortrolige personoplysninger
er ifølge databeskyttelseslo-
ven cpr-numre og oplysninger
om strafbare forhold. Strafba-
re forhold kan fx være oplys-
ninger om lovovertrædelser
og politianmeldelser.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
12
| Introduktion og konklusion
Datatilsynet er den uafhængige tilsynsmyndighed på databeskyttelsesområdet. Da-
tatilsynet skal på den ene side føre tilsyn med og håndhæve, at databeskyttelsesreg-
lerne overholdes, og på den anden side rådgive og vejlede offentlige myndigheder og
private virksomheder om databeskyttelsesreglerne. Det kan fx være ved at udgive
vejledende tekster og offentliggøre afgørelser på baggrund af gennemførte tilsyn. Der-
udover har Datatilsynet også en række andre opgaver, fx at fremme offentlighedens
kendskab til databeskyttelsesreglerne og deltage i internationalt samarbejde.
Digitaliseringsstyrelsen under Finansministeriet har til opgave at udforme og imple-
mentere digitaliseringsinitiativer i det offentlige. Som en del af den opgave skal Digi-
taliseringsstyrelsen understøtte en tilstrækkelig informationssikkerhed i den offent-
lige sektor, hvilket i mange tilfælde har snitflader til databeskyttelsesreglerne.
Metode
22. Undersøgelsens
kapitel 2
er baseret på en gennemgang af dokumentation for 148
it-systemer på tværs af staten og Region Midtjylland, hvor myndighederne har out-
sourcet opbevaringen af følsomme eller fortrolige personoplysninger til en databe-
handler. Vi har valgt at fokusere på systemer med følsomme og/eller fortrolige per-
sonoplysninger, idet en kompromittering af disse typer data kan have de største kon-
sekvenser for borgerne. 108 ud af de 148 systemer indeholder følsomme personop-
lysninger, og de resterende 40 systemer indeholder fortrolige personoplysninger. 101
ud af de 148 systemer indeholder både følsomme og fortrolige personoplysninger. Vi
har for alle systemerne gennemgået dokumentation for risikovurderinger, databehand-
leraftaler og tilsynsaktiviteter.
Behandling af person-
oplysninger
Behandling af personoplysnin-
ger er et bredt begreb, som fx
kan omfatte opbevaring, ind-
samling, registrering, organi-
sering, systematisering, tilpas-
ning eller ændring, genfinding,
søgning, brug, videregivelse
ved transmission, formidling
eller enhver anden form for
overladelse, sammenstilling
eller samkøring, begrænsning,
sletning eller tilintetgørelse af
personoplysninger.
23. Behandling af personoplysninger kan have mange former. Vi fokuserer i kapitel 2
kun på outsourcing til databehandlere, som
opbevarer
persondata. Det gør vi ud fra
en risikobetragtning, fordi databehandlere, som opbevarer data, typisk også foreta-
ger anden behandling af data, fx søgning i eller organisering af data. Desuden anven-
der databehandlere, som opbevarer data, i mange tilfælde underdatabehandlere til
fx at vedligeholde servere eller yde support.
24. Vi har udvalgt de 148 it-systemer på baggrund af en bruttoliste på ca. 950 syste-
mer, som ifølge myndighederne falder inden for undersøgelsens afgrænsning. Vi har
udvalgt op til 10 systemer pr. myndighed, men færre i de tilfælde, hvor myndigheden
ikke har haft 10 systemer, der falder inden for undersøgelsens afgrænsning. Vi har ud-
valgt systemerne ud fra en risikobetragtning på baggrund af oplysninger fra myndig-
hederne om systemerne. Undersøgelsens resultater kan derfor ikke generaliseres til
alle outsourcede it-systemer i staten og regionerne, som opbevarer følsomme eller
fortrolige personoplysninger. De udvalgte systemer omfatter imidlertid en væsentlig
andel af populationen.
25. Undersøgelsens
kapitel 3
bygger på:
gennemgang af skriftligt materiale fra Finansministeriet, Justitsministeriet og Da-
tatilsynet, herunder vejledninger, mødereferater, notater og strategipapirer
data om Datatilsynets tilsynsaktivitet
redegørelser fra Finansministeriet, Justitsministeriet og Datatilsynet
en spørgeskemaundersøgelse, som omfatter alle statslige myndigheder, der har
outsourcet opbevaringen af følsomme eller fortrolige persondata, og Region Midt-
jylland.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Introduktion og konklusion |
13
26. Vores metodiske tilgang, udvælgelse af it-systemer og operationalisering af krite-
rier er uddybet i bilag 1. I bilaget fremgår også en liste over de 148 it-systemer, som ind-
går i undersøgelsen, og vores kodebog, der uddyber, på hvilket grundlag vi har vurde-
ret dokumentationen for de enkelte systemer.
27. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,
jf. bilag 1.
Afgrænsning
28. Undersøgelsen omfatter alle ministerier på nær Udenrigsministeriet, som har op-
lyst, at ministeriet ikke har outsourcet opbevaringen af følsomme eller fortrolige per-
sondata. Vi har i udvælgelsen af myndigheder lagt vægt på også at dække det regio-
nale niveau, som behandler mange følsomme helbredsoplysninger om borgere. Vi har
på den baggrund udvalgt Region Midtjylland som case for regionerne. Undersøgelsen
omfatter således 17 ministerier og én region.
29. Vi har i undersøgelsen afgrænset outsourcing til at omfatte tilfælde, hvor den da-
taansvarlige myndighed benytter en databehandler uden for ministeriets koncern. I
undersøgelsen opfattes data således ikke som outsourcede, hvis fx en styrelse er da-
tabehandler for sit departement eller andre styrelser inden for samme koncern, med-
mindre data i sidste ende outsources ud af koncernen. En undtagelse er Statens It,
som vi betragter som en ekstern databehandler for alle ministerier, selv om Statens It
organisatorisk er en del af Finansministeriets koncern.
30. Vi foretager ikke en juridisk vurdering af, om risikovurderinger, databehandleraf-
taler og tilsyn i sin helhed lever op til alle regler i GDPR. Vi undersøger heller ikke, om
fx databehandleraftalen i tilstrækkelig grad tager højde for de risici, som er identifice-
ret i risikovurderingen, eller om de gennemførte tilsyn har været tilstrækkelige. Under-
søgelsens sigte er derimod at se bredt på tværs af mange myndigheder og vurdere,
om myndighederne overholder en række minimumskrav for styring af databehand-
lere.
31. Undersøgelsesperioden går fra GDPR’s vedtagelse i EU i april 2016 til 1. januar 2020,
hvor vi afsluttede vores materialeindsamling. Vi har kun inkluderet dokumentation for
risikovurderinger og databehandleraftaler for de enkelte it-systemer, som er udarbej-
det inden den 20. september 2019, hvor vi første gang modtog dokumentation fra myn-
dighederne. Vi har kun inkluderet dokumentation for tilsynsaktiviteter, som er udar-
bejdet inden den 20. august 2019, hvor vi anmodede myndighederne om dokumenta-
tion for de enkelte systemer. Skæringsdatoerne er fastsat med henblik på at give et
retvisende øjebliksbillede af de undersøgte myndigheders styring af databehandlere.
Flere myndigheder har oplyst, at de efterfølgende har udarbejdet risikovurderinger,
indgået databehandleraftaler, udført tilsyn eller fx skiftet databehandler for ét eller
flere af deres systemer.
32. I bilag 1 er undersøgelsens metodiske tilgang beskrevet. Bilag 2 indeholder en ord-
liste, der forklarer udvalgte ord og begreber.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0021.png
14
| Myndighedernes styring af databehandlere
2. Myndighedernes
styring af databehandlere
Delkonklusion
Myndighederne har samlet set haft en meget utilfredsstillende styring af
databehandlere, som opbevarer følsomme eller fortrolige persondata, for
de it-systemer, som indgår i undersøgelsen. Dette er på trods af, at krave-
ne om at udarbejde risikovurderinger, indgå databehandleraftaler og føre
tilsyn med databehandlere har været gældende siden 2000. Særligt Udlæn-
dinge- og Integrationsministeriet og Region Midtjylland har haft en kritisa-
bel styring af databehandlere. Finansministeriet har overordnet set har
haft den bedste styring af databehandlere sammenlignet med de øvrige
myndigheder.
For det første har myndighederne ikke udarbejdet en risikovurdering for 58 % af deres
it-systemer, inden de indgik en databehandleraftale. I de tilfælde har myndighederne
ikke haft et grundlag for at fastsætte passende sikkerhedsforanstaltninger i databehand-
leraftalerne og planlægge deres tilsyn. Rigsrevisionen finder dette kritisabelt. Myndig-
hederne har for kun 18 % af systemerne udarbejdet en risikovurdering, inden de indgik
en databehandleraftale, som også forholder sig til risici for de registreredes rettigheder
og indeholder overvejelser om sandsynligheden for og konsekvensen ved, at der sker
en sikkerhedshændelse. Rigsrevisionen finder det særligt uhensigtsmæssigt, at myndig-
hederne kun har udarbejdet en risikovurdering for 6 ud af de 17 systemer, hvor data
opbevares hos globale cloud-udbydere. Det skyldes, at myndighederne skal godkende
cloud-udbydernes standardvilkår, der som udgangspunkt ikke kan tilpasses de enkelte
myndigheders behov. Rigsrevisionen finder det desuden utilfredsstillende, at flere myn-
digheder ikke har haft fuld klarhed over indholdet af de standardvilkår, som de har ac-
cepteret, når de benytter globale cloud-udbydere til at opbevare persondata.
For det andet havde myndighederne for 14 % af de outsourcede systemer ikke et juri-
disk grundlag for at styre deres databehandlere, da de ikke havde en gældende data-
behandleraftale. For en tredjedel af disse systemer har myndighederne indgået en da-
tabehandleraftale undervejs i Rigsrevisionens undersøgelse, selv om data var outsour-
cet inden.
For det tredje har myndighederne ikke ført tilsyn med deres databehandlere for 23 %
af systemerne. Dermed har de ikke undersøgt, om databehandleren overholder de af-
talte vilkår. For 40 % af de udførte tilsyn har myndighederne ikke kunnet dokumen-
tere, at de har fulgt op på tilsynenes resultater og taget stilling til, om de skal reagere
over for databehandleren. Disse tilsyn har dermed ikke tjent deres formål.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0022.png
Myndighedernes styring af databehandlere |
15
Manglende tilsyn kan have den konsekvens, at myndigheden ikke ved, om behandlin-
gen af data sker inden for databehandleraftalens og databeskyttelsesreglernes ram-
mer. Undersøgelsen viser, at myndighederne ikke har haft kendskab til alle underda-
tabehandlere for 24 % af de systemer, hvor der benyttes underdatabehandlere. Det
betyder, at underdatabehandlere i praksis har behandlet følsomme eller fortrolige per-
sondata uden myndighedernes forudgående viden.
33. Dette kapitel handler om, hvorvidt myndighederne har haft en tilfredsstillende sty-
ring af databehandlere, som opbevarer følsomme eller fortrolige persondata. Vi un-
dersøger myndighedernes arbejde med at udarbejde risikovurderinger, indgå data-
behandleraftaler og føre tilsyn, herunder deres kendskab til underdatabehandlere.
2.1. Risikovurderinger
34. Vi har undersøgt, om myndighederne har udarbejdet en risikovurdering, inden de
har indgået en databehandleraftale med databehandleren. Det har været et krav bå-
de under persondataloven og GDPR, at myndighederne skal udarbejde en risikovur-
dering, når de behandler personoplysninger. Formålet med en risikovurdering er bl.a.
at vurdere, hvilke sikkerhedsforanstaltninger der skal skrives ind i databehandleraf-
talen, og hvilken form for tilsyn myndigheden skal gennemføre. Da risikovurderingen
danner grundlag for, at myndighederne kan fastsætte de rette sikkerhedsforanstalt-
ninger i databehandleraftalen, vurderer Rigsrevisionen, at det er vigtigt, at risikovur-
deringen er foretaget, inden databehandleraftalen indgås.
Vi har også undersøgt, om risikovurderingerne eksplicit forholder sig til risici for de re-
gistreredes rettigheder, fx hvilke konsekvenser det kan få for de registrerede, hvis de-
res data går tabt, eller uvedkommende får adgang til dem. Det fremgår af GDPR, at
risikovurderingerne skal tage udgangspunkt i risici for de registreredes rettigheder.
Det kan i praksis betyde, at it-systemer, som ikke er særligt kritiske på forretnings-
området, kan vise sig særligt risikofyldte for de registrerede og derfor også kræver
særlige sikkerhedsforanstaltninger. Vi har ikke juridisk forholdt os til, om risikovurde-
ringerne lever op til GDPR, men har ud fra en minimumsbetragtning vurderet, om risi-
kovurderingerne eksplicit
forholder
sig til én eller flere risici for de registreredes ret-
tigheder.
Endelig har vi undersøgt, om risikovurderingerne indeholder overvejelser om sandsyn-
ligheden for og konsekvensen ved mulige sikkerhedshændelser. Det fremgår af Da-
tatilsynets vejledning om risikovurderinger, at risikovurderingen bør omfatte overve-
jelser om sandsynlighed og konsekvens, da det giver et samlet overblik over risikobil-
ledet.
Vejledning om risiko-
vurderinger
Datatilsynet har i samarbejde
med Rådet for Digital Sikker-
hed udgivet en vejledning om
risikovurderinger.
Vejledningen indeholder bl.a.
en risikovurderingsmetodik og
en skabelon, som den dataan-
svarlige kan benytte i sit arbej-
de med risikovurderinger.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0023.png
16
| Myndighedernes styring af databehandlere
35. Figur 4 viser, om myndighederne har udarbejdet risikovurderinger for deres it-sy-
stemer, og om risikovurderingerne er udarbejdet, inden databehandleraftalen er ind-
gået.
Figur 4
Risikovurderinger pr. myndighed og samlet
(Antal it-systemer)
10
8
6
4
2
16 %
42 %
42 %
(Andel af alle it-systemer)
Beskæftigelsesministeriet
Miljø- og Fødevareministeriet
Udlændinge- og Integrationsministeriet
Transport- og Boligministeriet
Erhvervsministeriet
Børne- og Undervisningsministeriet
Justitsministeriet
Skatteministeriet
Kulturministeriet
Statsministeriet
Kirkeministeriet
Klima-, Energi- og Forsyningsministeriet
Uddannelses- og Forskningsministeriet
Sundheds- og Ældreministeriet
Finansministeriet
Social- og Indenrigsministeriet
Forsvarsministeriet
Der er udarbejdet en risikovurdering, inden der er indgået en databehandleraftale
Der er udarbejdet en risikovurdering, men først efter, at der er indgået en databehandleraftale
1)
Der er ikke udarbejdet en risikovurdering
1)
Denne kategori indeholder også enkelte tilfælde, hvor der er udarbejdet en risikovurdering, men hvor der ikke er indgået en databehandleraftale.
Note: n=148 it-systemer fordelt på alle 18 myndigheder.
Kilde:
Rigsrevisionen.
Det fremgår af figur 4, at myndighederne for 42 % af it-systemerne ikke har foretaget
en risikovurdering, selv om det er et lovkrav. For yderligere 16 % af systemerne har
myndighederne først udarbejdet en risikovurdering, efter at databehandleraftalen er
indgået. Risikovurderingen kan derfor ikke have ligget til grund for de krav, der blev
skrevet ind i databehandleraftalen. Der kan dog være tilfælde, hvor myndighederne
på baggrund af en senere risikovurdering har genbesøgt deres databehandleraftale
og vurderet, at aftalen var tilstrækkelig. 11 ud af de 18 myndigheder har udarbejdet en
risikovurdering for under halvdelen af deres systemer, inden de har indgået databe-
handleraftaler. Finansministeriet og Kulturministeriet skiller sig positivt ud i forhold til
de øvrige myndigheder ved at have udarbejdet en risikovurdering for henholdsvis 9 ud
af 10 systemer og 5 ud af 6 systemer, inden de har indgået en databehandleraftale.
Region Midtjylland
0
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0024.png
Myndighedernes styring af databehandlere |
17
Boks 1 beskriver et eksempel på et it-system, hvor der ikke er udarbejdet en risiko-
vurdering.
Boks 1
Eksempel på manglende risikovurdering
Region Midtjylland bruger en privat databehandler til at sende elektroniske breve, fx
henvisning til egen læge eller oplysninger til kommuner og andre eksterne parter. I den
forbindelse sker der også en midlertidig opbevaring af data hos databehandleren. Sy-
stemet indeholder både følsomme og fortrolige personoplysninger. Region Midtjylland
har ikke udarbejdet en risikovurdering for systemet, inden systemet blev outsourcet.
Det fremgår desuden af figur 4, at myndighederne for de resterende 42 % af it-syste-
merne har foretaget en risikovurdering, inden databehandleraftalen blev indgået. Af
de 42 % forholder knap halvdelen sig ikke eksplicit til risici for de registreredes rettig-
heder, og en fjerdedel forholder sig ikke til sandsynligheden for og konsekvensen ved,
at der indtræffer en hændelse, som kompromitterer datasikkerheden. Disse risikovur-
deringer udgør derved et svagere grundlag for den dataansvarlige til at kunne vurde-
re, hvilke sikkerhedsforanstaltninger databehandleraftalen bør indeholde for at op-
retholde et højt sikkerhedsniveau, ikke mindst for så vidt angår risici for de registre-
redes rettigheder.
Samlet set har myndighederne for kun 18 % af it-systemerne i undersøgelsen udarbej-
det en risikovurdering, som opfylder alle de krav, vi har undersøgt. Dvs. at risikovur-
deringen er udarbejdet, inden myndigheden har indgået en databehandleraftale, og
at den forholder sig til både risici for de registreredes rettigheder, som er et krav iføl-
ge GDPR, og til sandsynligheden for og konsekvensen ved en sikkerhedshændelse.
36. Boks 2 giver et eksempel på en myndighed, der har arbejdet systematisk med at
udarbejde risikovurderinger for sine it-systemer.
Boks 2
Eksempel på en systematisk tilgang til risikovurderinger
Statens Administration har en systematisk tilgang til arbejdet med risikovurderinger.
Statens Administration udarbejder årligt en samlet risikovurdering for alle sine it-syste-
mer, processer og leverandører. I risikovurderingen forholder Statens Administration sig
til:
Konsekvensen for de registreredes rettigheder, hvis der sker et sikkerhedsbrud, fx
datalæk eller uautoriseret brug af personoplysninger.
Det samlede risikobillede på baggrund af overvejelser om sandsynligheder og konse-
kvenser for sikkerhedsbrud.
Hvilke tiltag der skal iværksættes for at styrke sikkerheden. Tiltagene beskrives i en
kort handleplan for hvert system, som indeholder et tidspunkt for, hvornår tiltagene
skal være iværksat.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
18
| Myndighedernes styring af databehandlere
Risikovurderinger ved brug af cloud-services
Cloud-services
Cloud-services dækker bredt
set over internetbaserede it-
løsninger. Løsningerne kan
have mange former – fra pro-
grammer som fx Gmail og Fa-
cebook, som tilgås via inter-
nettet og ikke er installeret på
computeren, til løsninger, som
kun opbevarer data. Opbeva-
ringsløsningerne kan variere i
fuldstændighed – fra færdige
løsninger som fx Dropbox og
Google Drive til mere rå ser-
verkapacitet som fx Microsoft
Azure og Amazon Web Ser-
vice.
Fælles for løsningerne er, at
data og applikation ligger på
internettet og ikke på den
computer, som man tilgår løs-
ningerne fra.
Mere information om brugen
af cloud findes i Digitaliserings-
styrelsens vejledning til anven-
delse af cloud.
37. En række myndigheder gør brug af såkaldte cloud-services. Når man taler om out-
sourcing af persondata, vil cloud-services typisk dække over løsninger, hvor opbeva-
ringen af data ikke foregår lokalt, men i ét eller flere eksterne datacentre. Cloud-ser-
vices kan være fordelagtige, fordi de ofte er billigere, da løsningerne er fleksible og kun
trækker på den kapacitet, som er nødvendig. Der er imidlertid nogle særlige karakte-
ristika for cloud-services leveret af globale cloud-udbydere, som myndighederne skal
være opmærksomme på. Det gælder fx, at myndighederne skal godkende cloud-ud-
bydernes standardvilkår, som ikke kan tilpasses den enkelte myndigheds behov.
Standardvilkårene indebærer, at myndighederne giver en generel godkendelse til, at
udbyderne benytter underdatabehandlere i hele verden, som det i praksis kan være
svært at føre tilsyn med. Det er derfor særligt vigtigt, at myndighederne foretager en
risikovurdering, inden de gør brug af cloud-services hos en global cloud-udbyder.
38. Undersøgelsen viser, at myndighederne kun har udarbejdet en risikovurdering for
6 ud af de 17 it-systemer, hvor der benyttes globale cloud-udbydere, inden de har out-
sourcet opbevaringen af persondata.
Resultater
Undersøgelsen viser, at myndighederne ikke har udarbejdet en risikovurdering for 42 %
af it-systemerne, selv om det er et lovkrav. For yderligere 16 % af systemerne har myn-
dighederne først udarbejdet en risikovurdering, efter de har indgået en databehand-
leraftale. Det betyder, at myndighederne for størstedelen (58 %) af systemerne, som
opbevarer følsomme eller fortrolige persondata, ikke har haft et grundlag for at kun-
ne fastsætte tilstrækkelige sikkerhedsforanstaltninger i databehandleraftalerne og til
at kunne planlægge deres tilsyn. 11 ud af de 18 myndigheder har udarbejdet en risiko-
vurdering for under halvdelen af deres systemer, inden de indgik en databehandler-
aftale. Finansministeriet har udarbejdet en risikovurdering for 9 ud af 10 systemer og
Kulturministeriet for 5 ud af 6 systemer, inden de indgik en databehandleraftale.
Undersøgelsen viser også, at myndighederne har udarbejdet en risikovurdering for
42 % af systemerne, inden de indgik en databehandleraftale. Halvdelen af disse risiko-
vurderinger forholder sig imidlertid ikke til risici for de registreredes rettigheder, og en
fjerdedel indeholder ikke overvejelser om sandsynlighed og konsekvens. Samlet set
har myndighederne kun udarbejdet en risikovurdering for 18 % af de undersøgte sy-
stemer, som opfylder alle de krav, vi har undersøgt. Dvs. at myndigheden har udarbej-
det en risikovurdering, inden myndigheden har indgået en databehandleraftale, og at
risikovurderingen forholder sig til både risici for de registreredes rettigheder, som er
et krav ifølge GDPR, og til sandsynligheden for og konsekvensen ved, at der sker en
sikkerhedshændelse.
Endelig viser undersøgelsen, at myndighederne kun har udarbejdet en risikovurdering
for 6 ud af 17 systemer, hvor persondata opbevares hos en global cloud-udbyder. Det
finder Rigsrevisionen særligt uhensigtsmæssigt, fordi der gør sig særlige forhold gæl-
dende ved brugen af globale cloud-udbydere, som myndighederne bør forholde sig
til.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0026.png
Myndighedernes styring af databehandlere |
19
2.2. Databehandleraftaler
39. Vi har undersøgt, om myndighederne har indgået databehandleraftaler med de-
res databehandlere, som opbevarer følsomme eller fortrolige persondata. Vi har og-
så undersøgt, om data fysisk opbevares inden for det aftalte område, som fremgår af
databehandleraftalen.
Den dataansvarlige og databehandleren skal indgå en skriftlig databehandleraftale,
når behandlingen af persondata overlades til databehandleren. Dette er et krav i
GDPR og har været et udtrykkeligt lovkrav, siden persondataloven blev gældende i
2000. Databehandleraftalen er det juridiske grundlag, der regulerer, hvordan data-
behandleren må behandle personoplysningerne. Det kan fx være, om databehandle-
ren skal have en specifik godkendelse af nye underdatabehandlere fra den dataan-
svarlige, hvorfra i verden data må behandles, eller om databehandleren skal slette
personoplysningerne, når samarbejdet ophører.
40. Figur 5 viser, om myndighederne har indgået databehandleraftaler med deres
databehandlere, som opbevarer følsomme eller fortrolige personoplysninger.
Figur 5
Vejledningsmateriale om
databehandleraftaler
Datatilsynet har udgivet en
vejledning om databehandlere
og dataansvarlige.
Vejledningen beskriver, hvilke
overvejelser den dataansvar-
lige bør gøre sig ved indgåelse
af en databehandleraftale. Da-
tatilsynet har også udarbejdet
en standarddatabehandleraf-
tale, som er en skabelon for,
hvordan en databehandleraf-
tale kan udformes.
Databehandleraftaler pr. myndighed og samlet
(Antal it-systemer)
10
8
6
4
2
86 %
(Andel af alle it-systemer)
9%
5%
Miljø- og Fødevareministeriet
Beskæftigelsesministeriet
Udlændinge- og Integrationsministeriet
Transport- og Boligministeriet
Skatteministeriet
Kirkeministeriet
Erhvervsministeriet
Børne- og Undervisningsministeriet
Justitsministeriet
Statsministeriet
Kulturministeriet
Finansministeriet
Klima-, Energi- og Forsyningsministeriet
Uddannelses- og Forskningsministeriet
Sundheds- og Ældreministeriet
Social- og Indenrigsministeriet
Forsvarsministeriet
Der er en gældende databehandleraftale
Der er en gældende databehandleraftale, men den er først indgået i undersøgelsesperioden
Der er ikke en gældende databehandleraftale
Note: n=148 it-systemer fordelt på alle 18 myndigheder. De 5 % af databehandleraftalerne, som er indgået i undersøgelsesperioden, er indgået i pe-
rioden, fra Rigsrevisionen påbegyndte sin hovedundersøgelse i juni 2019, til Rigsrevisionen afsluttede materialeindsamlingen for databehand-
leraftaler i september 2019.
Kilde:
Rigsrevisionen.
Region Midtjylland
0
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0027.png
20
| Myndighedernes styring af databehandlere
Det fremgår af figur 5, at myndighederne samlet set havde indgået en databehandler-
aftale for 86 % af deres it-systemer, da vi påbegyndte undersøgelsen i juni 2019. 9 ud
af de 18 myndigheder havde gældende databehandleraftaler for alle deres outsource-
de systemer, da vi påbegyndte undersøgelsen. For 5 % af systemerne har myndighe-
derne først indgået en databehandleraftale undervejs i Rigsrevisionens undersøgelse,
selv om systemerne var outsourcet inden. Social- og Indenrigsministeriet, Forsvarsmi-
nisteriet, Transport- og Boligministeriet og Kulturministeriet har undervejs i undersø-
gelsesperioden indgået nye databehandleraftaler, så ministerierne nu har databe-
handleraftaler for alle de systemer, der indgår i undersøgelsen. Myndighederne har
ikke indgået en databehandleraftale for 9 % af deres outsourcede systemer med føl-
somme eller fortrolige personoplysninger. Region Midtjylland, Udlændinge- og Inte-
grationsministeriet, Sundheds- og Ældreministeriet og Justitsministeriet har ikke en
gældende databehandleraftale for flere af deres systemer.
41. Boks 3 giver 2 eksempler på it-systemer, hvor der ikke er indgået en databehand-
leraftale.
Boks 3
Eksempler på manglende databehandleraftaler
Sundhedsdatastyrelsen
Sundhedsdatastyrelsen opbevarer Organdonorregisteret hos en privat it-leverandør.
Systemet indeholder cpr-numre om organdonorer. Sundhedsdatastyrelsen har ikke en
databehandleraftale og har derfor ikke et juridisk grundlag til at styre, hvordan databe-
handleren anvender personoplysningerne.
Styrelsen for International Rekruttering og Integration
Styrelsen for International Rekruttering og Integration (SIRI) anvender en privat it-leve-
randør til at vurdere ægtheden af opholdsdokumenter, når udenlandske borgere søger
om opholdstilladelse. Opholdsdokumenterne, fx udenlandske pas, indeholder typisk et
nationalt id-nummer, som er en fortrolig oplysning. SIRI overtog systemet fra Statsfor-
valtningen ved ressortoverdragelse pr. 1. april 2019, hvor der ikke forelå en databehand-
leraftale. Arbejdet med at indgå en databehandleraftale er endnu ikke afsluttet. SIRI har
derfor på nuværende tidspunkt ikke et juridisk grundlag, der bestemmer, hvordan data-
behandleren må anvende disse personoplysninger.
42. For 27 % af it-systemerne i undersøgelsen (40 systemer) er databehandlerafta-
len indgået, før GDPR blev gældende den 25. maj 2018. Vores gennemgang viser, at
knap halvdelen (18) af databehandleraftalerne henviser til persondataloven og ikke til
GDPR. Det indikerer, at databehandleraftalerne for 18 systemer, svarende til 12 % af
systemerne i undersøgelsen, ikke fuldt ud lever op til kravene i GDPR.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Myndighedernes styring af databehandlere |
21
Digital Post-løsningen
43. En række it-systemer er fællesstatslige og benyttes af mange myndigheder. For
systemet Digital Post har flere myndigheder oplevet, at der er uklarhed om, hvem der
har ansvaret for at udarbejde risikovurderinger, indgå databehandleraftaler og føre
tilsyn med e-Boks, som leverer løsningen. Digitaliseringsstyrelsen har oplyst, at de
enkelte myndigheder er dataansvarlige for de personoplysninger, som de sender via
Digital Post, og derfor er ansvarslige for selv at udarbejde en risikovurdering, indgå en
databehandleraftale og føre et passende tilsyn. Dette var også tilfældet under person-
dataloven og er ikke blevet ændret som følge af GDPR. Digital Post indgår 7 gange i
undersøgelsen, hvor 7 forskellige myndigheder er dataansvarlige. Undersøgelsen vi-
ser, at myndighederne i 2 ud af de 7 tilfælde ikke har indgået en databehandleraftale
med e-Boks.
44. Digitaliseringsstyrelsen har tilkendegivet, at det ud fra en resursemæssig betragt-
ning ikke er hensigtsmæssigt, at alle myndigheder selv er ansvarlige for at føre tilsyn
med e-Boks. Det er imidlertid Digitaliseringsstyrelsens vurdering, at styrelsen ikke in-
den for de gældende juridiske rammer kan føre tilsyn på vegne af de enkelte dataan-
svarlige myndigheder. Digitaliseringsstyrelsen har i forbindelse med vores undersø-
gelse aftalt med e-Boks, at Digitaliseringsstyrelsens databehandleraftale og revisor-
erklæring gøres tilgængelige for øvrige myndigheder. Digitaliseringsstyrelsen vil også
synliggøre, hvordan styrelsen fører tilsyn med e-Boks med henblik på, at de øvrige
myndigheder kan vurdere, om Digitaliseringsstyrelsens tilsyn er tilstrækkeligt i forhold
til myndighedernes egen risikovurdering.
Fysisk opbevaring af persondata
Fællesstatslige it-systemer
Fællesstatslige it-systemer er
systemer, som én myndighed
er ansvarlig for, men som be-
nyttes af en lang række myn-
digheder på tværs af staten, fx
Statens Budgetsystem og sta-
tens rejseafregnings- og ud-
lægssystem (RejsUd).
Typisk er den ansvarlige myn-
dighed, og ikke de enkelte
myndigheder, dataansvarlig
for data, som behandles i fæl-
lesstatslige systemer.
45. For at sikre, at EU’s databeskyttelsesregler ikke udvandes, hvis data føres ud af
EU, gælder der særlige regler, når persondata overføres til tredjelande eller internatio-
nale organisationer. Vi har undersøgt, om myndighederne har defineret, hvor databe-
handlerne må opbevare deres persondata, og bedt myndighederne indhente oplys-
ninger fra deres databehandler om, hvor data faktisk blev opbevaret.
46. Myndighederne har for 85 % af it-systemerne i undersøgelsen (126 ud af 148 sy-
stemer) stillet krav til databehandleren om, at deres personoplysninger skal opbeva-
res i Danmark eller inden for EU/EØS. For de resterende 15 % har myndighederne ik-
ke taget stilling til, hvor deres data må opbevares.
Personoplysningerne i 123 ud af de 126 it-systemer blev ifølge databehandlerne op-
bevaret inden for det område, som myndigheden havde bestemt. I 2 tilfælde blev da-
ta opbevaret i et andet EU-/EØS-land, selv om det fremgik af databehandleraftalen,
at data skulle opbevares i Danmark. Desuden kunne Beredskabsstyrelsen under For-
svarsministeriet ikke dokumentere, hvor data fra et af deres systemer fysisk blev op-
bevaret. Beredskabsstyrelsen har efterfølgende opsagt samarbejdet med databe-
handleren. Data for de 15 % af systemerne, hvor der ikke var taget stilling til opbeva-
ring, blev i alle tilfælde ifølge databehandlerne opbevaret i Danmark eller i et andet
EU-/EØS-land.
Tredjelande
Tredjelande er lande, som ik-
ke er medlem af EU eller EØS
(Island, Lichtenstein og Norge).
Som udgangspunkt er alle lan-
de uden for EU/EØS at betrag-
te som usikre tredjelande. Eu-
ropa-Kommissionen har imid-
lertid afgjort, at beskyttelses-
niveauet for en række tredje-
lande lever op til sikkerheds-
standarderne, der gælder in-
den for EU, og dermed kan be-
tragtes som sikre tredjelande.
Det gælder fx Schweiz, New
Zealand og organisationer/
virksomheder i USA, som har
tilsluttet sig EU-U.S. Privacy
Shield.
Datatilsynet har udgivet en
vejledning om overførsler til
tredjelande. Vejledningen be-
skriver bl.a., hvad en dataan-
svarlig skal være opmærksom
på ved overførsler til sikre og
usikre tredjelande.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
22
| Myndighedernes styring af databehandlere
Standardvilkår ved brug af cloud-services
47. Når myndighederne bruger globale cloud-udbydere som databehandlere eller un-
derdatabehandlere, består databehandleraftalen som udgangspunkt af cloud-udby-
derens standardvilkår, som ikke kan tilpasses den enkelte myndigheds behov. Af
standardvilkårene fremgår det typisk, at cloud-udbyderen har en generel godkendel-
se til at benytte underdatabehandlere, som kan være placeret rundt omkring i verden
og i visse situationer kan tilgå persondata.
Vores undersøgelse viser, at flere myndigheder ikke har været klar over, at de har gi-
vet den globale cloud-udbyder generel godkendelse til at anvende underdatabehand-
lere fra sikre og usikre tredjelande, der som udgangspunkt kan få
adgang
til at be-
handle myndighedernes data, fx i forbindelse med support eller vedligeholdelse af
servere.
Resultater
Undersøgelsen viser, at myndighederne ikke har indgået en databehandleraftale for
9 % af deres outsourcede it-systemer med følsomme eller fortrolige oplysninger, og
at de for 5 % af systemerne først har indgået en databehandleraftale undervejs i
Rigsrevisionens undersøgelse, selv om data var outsourcet inden. Dette er tilfældet,
selv om lovkravet om databehandleraftaler har været gældende siden 2000. Region
Midtjylland, Udlændinge- og Integrationsministeriet, Sundheds- og Ældreministeriet
og Justitsministeriet skiller sig ud ved ikke at have indgået databehandleraftaler for
flere af deres systemer. 9 ud af de 18 myndigheder havde indgået en databehandler-
aftale for alle deres systemer, da Rigsrevisionen påbegyndte undersøgelsen. Databe-
handleraftalerne for 12 % af systemerne i undersøgelsen er indgået inden GDPR og
henviser til de gamle databeskyttelsesregler. Det indikerer, at de ikke fuldt ud lever
op til de gældende databeskyttelsesregler i GDPR.
Undersøgelsen viser, at flere myndigheder har oplevet uklarhed om ansvarsfordelin-
gen for systemet Digital Post, herunder hvem der skal føre tilsyn med databehandle-
ren e-Boks. Det er Rigsrevisionens vurdering, at Digitaliseringsstyrelsen tidligere bur-
de have stillet sit tilsyn til rådighed for de øvrige myndigheder, så myndighederne
kunne vurdere, om det udførte tilsyn var tilstrækkeligt i forhold til deres egen risiko-
vurdering.
Undersøgelsen viser desuden, at myndighederne for 85 % af systemerne i undersø-
gelsen har stillet krav om, hvor deres personoplysninger fysisk må opbevares. Rigs-
revisionen kan konstatere, at data ifølge databehandlerne for alle undtagen 3 syste-
mer var fysisk placeret i overensstemmelse med myndighedernes krav. I 2 tilfælde
var data opbevaret i et andet EU-/EØS-land, selv om data skulle opbevares i Dan-
mark. For et enkelt system har Beredskabsstyrelsen ikke kunnet oplyse, hvor data
opbevares. Myndighederne har for 15 % af systemerne i undersøgelsen ikke taget
stilling til, hvor data må opbevares. Her blev data ifølge databehandlerne i alle tilfæl-
de opbevaret i Danmark eller i et andet EU-/EØS-land.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Myndighedernes styring af databehandlere |
23
Endelig viser undersøgelsen, at flere myndigheder ikke har været klar over, at de har
givet globale cloud-udbydere generel godkendelse til at anvende underdatabehand-
lere i sikre og usikre tredjelande, der som udgangspunkt kan få adgang til at behandle
deres data. Myndighederne har således ikke har haft fuld klarhed over indholdet af
de globale cloud-udbyderes standardvilkår, som de eller deres databehandlere har
accepteret.
2.3. Tilsyn
48. Vi har undersøgt, om myndighederne har ført tilsyn med deres databehandlere.
Det har vi gjort ved at undersøge, om myndighederne har en plan for at føre tilsyn med
deres databehandlere, om myndighederne faktisk har ført tilsyn med deres databe-
handlere, og om myndighederne har fulgt op på de tilsyn, som de har gennemført.
Vi har desuden undersøgt, om myndighederne har kendskab til alle underdatabehand-
lere, som behandler deres persondata, og om myndighederne har sikret, at der er ført
tilsyn med underdatabehandlere.
49. Tilsyn skal sikre, at databehandlerne i praksis overholder de krav, som er fastsat i
databehandleraftalerne og i de gældende databeskyttelsesregler. Det er ikke et lov-
krav at have en tilsynsplan, men Rigsrevisionen vurderer, at en tilsynsplan sikrer, at
myndighederne har overblik over og sikrer konsistens i de tilsyn, som myndighederne
skal udføre. Det er Datatilsynets opfattelse, at kravet om at føre tilsyn følger af GDPR,
idet den dataansvarlige skal kunne påvise, at behandlingen overholder GDPR og da-
tabehandleraftalen. Datatilsynet lægger vægt på, at formen og hyppigheden af tilsy-
net afhænger af den forudgående risikovurdering. Endelig er det Rigsrevisionens op-
fattelse, at værdien af et udført tilsyn først kommer til udtryk, når myndigheden følger
op på tilsynets resultater, dvs. at myndigheden tager stilling til, om de skal reagere
over for databehandleren på baggrund af tilsynets resultater.
Det følger af GDPR, at en databehandler ikke må bruge underdatabehandlere, uden
at den dataansvarlige har givet en forudgående specifik eller generel skriftlig godken-
delse. Ved specifik godkendelse må databehandleren ikke anvende underdatabe-
handlere, før den dataansvarlige specifikt har godkendt de konkrete underdatabe-
handlere. Hvis det fremgår af databehandleraftalen, at myndigheden har givet en ge-
nerel godkendelse, skal myndigheden stadig orienteres om brugen af nye underdata-
behandlere. Hvis myndigheden har et mangelfuldt tilsyn med sin databehandler, kan
en konsekvens være, at myndigheden ikke har kendskab til alle underdatabehandle-
re, eller at databehandleren ikke fører tilsyn med underdatabehandlere.
Vejledningsmateriale om
tilsyn
Datatilsynet har udgivet en
vejledning, der bl.a. beskriver,
hvordan man kan føre tilsyn
med databehandlere og un-
derdatabehandlere.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0031.png
24
| Myndighedernes styring af databehandlere
Planer for tilsyn med databehandlere
50. Figur 6 viser, om myndighederne har en plan for at føre tilsyn med deres databe-
handlere. En tilsynsplan kan enten fremgå direkte af databehandleraftalen, hvor det
fx bestemmes, at der skal indhentes en årlig revisorerklæring af en bestemt type, el-
ler af en selvstændig tilsynsplan i myndigheden.
Figur 6
Planer for tilsyn med databehandlere pr. myndighed og samlet
(Antal it-systemer)
10
8
6
53 %
(Andel af alle it-systemer)
24 %
4
23 %
2
Miljø- og Fødevareministeriet
Beskæftigelsesministeriet
Transport- og Boligministeriet
Udlændinge- og Integrationsministeriet
Børne- og Undervisningsministeriet
Erhvervsministeriet
Skatteministeriet
Kulturministeriet
Statsministeriet
Kirkeministeriet
Klima-, Energi- og Forsyningsministeriet
Uddannelses- og Forskningsministeriet
Sundheds- og Ældreministeriet
Finansministeriet
Social- og Indenrigsministeriet
Forsvarsministeriet
Justitsministeriet
Der findes en tilsynsplan for systemet
Der findes kun en overordnet tilsynsplan
Der findes hverken en overordnet eller systemspecifik tilsynsplan
Note: n=120 it-systemer fordelt på alle 18 myndigheder. Systemer, hvor Statens It eller Statens Administration er databehandler, fremgår ikke af
figuren, da Finansministeriet har ansvaret for at føre tilsyn med disse systemer. En overordnet tilsynsplan skal forstås som en plan, der ikke
forholder sig til det enkelte system. En overordnet tilsynsplan vil typisk omfatte fx en enkelt styrelse og vil oftest ikke gælde hele ministerom-
rådet.
Kilde:
Rigsrevisionen.
Det fremgår af figur 6, at myndighederne har en plan for at føre tilsyn med databe-
handlerne for 53 % af deres outsourcede it-systemer. Myndighederne har ikke en
plan for at føre tilsyn for 24 % af deres systemer, og for 23 % af systemerne findes
der kun en overordnet tilsynsplan. Det betyder, at myndigheden har et overordnet
koncept for, hvordan der generelt skal føres tilsyn med myndighedens databehand-
lere, men at myndigheden ikke har bestemt, hvordan og hvor ofte der skal føres tilsyn
med det specifikke system. 10 ud af de 18 myndigheder har en tilsynsplan for under
halvdelen af deres systemer. Kirkeministeriet har som den eneste myndighed en til-
synsplan for alle sine systemer.
Region Midtjylland
0
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0032.png
Myndighedernes styring af databehandlere |
25
Tilsyn med databehandlere
51. Tilsyn med databehandlere kan have flere forskellige former og bør afspejle den
risikovurdering, som myndigheden har foretaget. Et tilsyn kan enten ske ved, at myn-
digheden indhenter en specifik eller generel revisorerklæring, som udarbejdes af eks-
terne revisorer, eller ved, at myndigheden selv indhenter oplysninger eller gennemfø-
rer fysiske inspektioner hos databehandleren. Figur 7 viser, om myndighederne har
ført tilsyn med deres databehandlere, hvor der er indgået en databehandleraftale.
Figur 7
Tilsyn med databehandlere pr. myndighed og samlet
(Antal it-systemer)
10
8
6
4
2
77 %
(Andel af alle it-systemer)
23 %
Beskæftigelsesministeriet
Miljø- og Fødevareministeriet
Erhvervsministeriet
Udlændinge- og Integrationsministeriet
Transport- og Boligministeriet
Børne- og Undervisningsministeriet
Klima-, Energi- og Forsyningsministeriet
Sundheds- og Ældreministeriet
Social- og Indenrigsministeriet
Uddannelses- og Forskningsministeriet
Der er udført ét eller flere tilsyn
Der er ikke udført tilsyn
Note: n=86 it-systemer fordelt på 17 myndigheder. I figuren indgår kun systemer, hvor der findes en databehandleraftale. Systemer, hvor der ikke er
ført tilsyn, men hvor der er gået mindre end 1 år siden indgåelse af databehandleraftalen, indgår ikke. Desuden indgår systemer, hvor Statens It
eller Statens Administration er databehandler, heller ikke, da Finansministeriet er ansvarlig for at føre tilsyn med disse systemer. Statsministe-
riet indgår ikke i opgørelsen, idet ingen af ministeriets systemer falder inden for disse afgrænsninger.
Kilde:
Rigsrevisionen.
Forsvarsministeriet
Region Midtjylland
Justitsministeriet
Finansministeriet
Skatteministeriet
Kulturministeriet
Kirkeministeriet
0
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
26
| Myndighedernes styring af databehandlere
Generel revisorerklæring
En generel revisorerklæring
omfatter som udgangspunkt
databehandlerens generelle
it-sikkerhed, interne kontroller
og i nogle tilfælde databeskyt-
telse. Denne type erklæring
omfatter som udgangspunkt
ikke det specifikke system el-
ler den behandling af person-
data, som finder sted i syste-
met.
Specifik revisorerklæring
Det fremgår af figur 7, at myndighederne har ført én eller flere former for tilsyn med
deres databehandlere for 77 % af deres it-systemer. 6 ud af de 17 myndigheder har
ført tilsyn for alle deres systemer. For 41 % af de udførte tilsyn gælder, at der udeluk-
kende er indhentet en generel revisorerklæring. Det betyder, at uafhængige revisorer
har ført tilsyn med databehandlerens generelle informationssikkerhed eller it-kontrol-
ler, men ikke har taget stilling til, om databehandleren overholder kravene i databe-
handleraftalen for det specifikke system.
Myndighederne har ikke ført nogen form for tilsyn med deres databehandlere for 23 %
af deres it-systemer. For alle disse gælder, at der er gået mindst 1 år, siden databe-
handleraftalen blev indgået. Udlændinge- og Integrationsministeriet, Kulturministeri-
et og Uddannelses- og Forskningsministeriet har ikke ført tilsyn for nogen af deres sy-
stemer.
Opfølgning på udførte tilsyn
En specifik revisorerklæring
omfatter det specifikke it-sy-
stem eller den specifikke da-
tabehandling, som myndighe-
den har outsourcet.
Ny type revisorerklæring
FSR - danske revisorer har i
samarbejde med Datatilsynet
i februar 2019 udarbejdet en
ny type revisorerklæring, som
skal give sikkerhed for, at da-
tabehandleren har orden i pro-
cedurer og regler for beskyt-
telse af persondata.
Revisorerklæringen har fået
navnet ”Uafhængig revisors
ISAE 3000-erklæring med sik-
kerhed om informationssikker-
hed og foranstaltninger i hen-
hold til databehandleraftale
med [dataansvarlig]” og kan
findes på FSR’s hjemmeside.
52. Figur 8 viser, om myndighederne har fulgt op på deres senest udførte tilsyn. En op-
følgning kan fx være, at myndigheden har sendt opfølgende spørgsmål til databehand-
leren, eller at myndigheden har konstateret i en intern mail, at tilsynet ikke gav anled-
ning til yderligere handlinger over for databehandleren.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0034.png
Myndighedernes styring af databehandlere |
27
Figur 8
Opfølgning på udførte tilsyn pr. myndighed og samlet
(Antal it-systemer)
10
8
6
4
2
40 %
60 %
(Andel af alle it-systemer)
Beskæftigelsesministeriet
Miljø- og Fødevareministeriet
Udlændinge- og Integrationsministeriet
Skatteministeriet
Transport- og Boligministeriet
Børne- og Undervisningsministeriet
Sundheds- og Ældreministeriet
Klima-, Energi- og Forsyningsministeriet
Myndighederne har fulgt op på det senest udførte tilsyn
Myndighederne har ikke fulgt op på det senest udførte tilsyn
Note: n=96 it-systemer fordelt på alle 18 myndigheder. Der indgår kun systemer, hvor der er ført tilsyn med databehandleren. Antallet af systemer i
denne figur er højere end antallet i figur 7. Det skyldes, at der også indgår systemer, hvor databehandleraftalen er indgået for mindre end 1 år
siden, eller hvor Statens It eller Statens Administration er databehandler, idet myndighederne også skal følge op på disse tilsyn. Der indgår ikke
systemer, hvor der ikke er fulgt op på tilsyn, hvis det på undersøgelsestidspunktet var mindre end 3 måneder siden, at tilsynet blev udført. For
hvert system indgår kun det senest udførte tilsyn.
Kilde:
Rigsrevisionen.
Det fremgår af figur 8, at myndighederne har fulgt op på 60 % af deres udførte tilsyn.
Social- og Indenrigsministeriet, Klima-, Energi- og Forsyningsministeriet, Udlændinge-
og Integrationsministeriet og Statsministeriet har fulgt op på alle deres udførte tilsyn.
Myndighederne har omvendt for 40 % af it-systemerne ikke kunnet dokumentere, at
de har fulgt op på de udførte tilsyn. For alle disse gælder, at det er mindst 3 måneder
siden, at tilsynet blev udført. 6 ud af de 18 myndigheder har fulgt op på mindre end
halvdelen af deres udførte tilsyn.
Uddannelses- og Forskningsministeriet
Social- og Indenrigsministeriet
Erhvervsministeriet
Statsministeriet
Justitsministeriet
Forsvarsministeriet
Region Midtjylland
Finansministeriet
Kulturministeriet
Kirkeministeriet
0
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0035.png
28
| Myndighedernes styring af databehandlere
Kendskab til underdatabehandlere
53. Hvis myndigheden ikke fører tilsyn med sin databehandler, er der en risiko for, at
myndigheden ikke har et opdateret og retvisende billede af, hvordan databehandlin-
gen foregår, herunder hvilke underdatabehandlere der benyttes. Ifølge GDPR skal
den dataansvarlige godkende brugen af underdatabehandlere og dermed have kend-
skab til, hvilke underdatabehandlere der behandler persondata. Figur 9 viser, om myn-
dighederne har haft kendskab til alle underdatabehandlere for de it-systemer, hvor
der benyttes underdatabehandlere.
Figur 9
Kendskab til alle underdatabehandlere pr. myndighed og samlet
(Antal it-systemer)
10
8
6
4
2
0
76 %
(Andel af alle it-systemer)
24 %
Miljø- og Fødevareministeriet
Transport- og Boligministeriet
Udlændinge- og Integrationsministeriet
Sundheds- og Ældreministeriet
Børne- og Undervisningsministeriet
Klima-, Energi- og Forsyningsministeriet
Social- og Indenrigsministeriet
Uddannelses- og Forskningsministeriet
Myndighederne har haft kendskab til alle underdatabehandlere
Myndighederne har ikke haft kendskab til alle underdatabehandlere
Note: n=93 it-systemer fordelt på 17 myndigheder. Der indgår kun systemer i figuren, hvor der anvendes underdatabehandlere. For de resterende
55 systemer har databehandleren oplyst, at der ikke anvendes underdatabehandlere. Kirkeministeriet indgår ikke i opgørelsen, idet ministeriet
ikke benytter underdatabehandlere for nogen af sine 9 systemer i undersøgelsen.
Kilde:
Rigsrevisionen.
Beskæftigelsesministeriet
Erhvervsministeriet
Justitsministeriet
Finansministeriet
Forsvarsministeriet
Region Midtjylland
Skatteministeriet
Kulturministeriet
Statsministeriet
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0036.png
Myndighedernes styring af databehandlere |
29
Det fremgår af figur 9, at myndighederne for 76 % af it-systemerne, hvor der benyttes
underdatabehandlere, har haft kendskab til alle underdatabehandlere. 8 ud af de 17
myndigheder har haft kendskab til alle underdatabehandlere for alle deres systemer.
For 24 % af systemerne har myndighederne imidlertid ikke haft kendskab til alle un-
derdatabehandlere, som behandler deres persondata. Det betyder, at der er mindst
én underdatabehandler, som har behandlet persondata uden myndighedens forudgå-
ende kendskab. Udlændinge- og Integrationsministeriet, Forsvarsministeriet og Re-
gion Midtjylland har kun haft kendskab til alle underdatabehandlere for halvdelen el-
ler færre af deres systemer, hvor underdatabehandlere behandler deres persondata.
54. Som følge af vores undersøgelse er myndighederne blevet opmærksomme på en
række tilfælde, hvor databehandlerne har gjort brug af underdatabehandlere, som
myndighederne ikke havde kendskab til. Boks 4 giver 3 eksempler på tilfælde, hvor
myndighederne ikke var klar over, at deres databehandler gjorde brug af underdata-
behandlere.
Godkendelse af under-
databehandlere
Ifølge GDPR skal den dataan-
svarlige enten give en generel
eller en specifik godkendelse
af alle underdatabehandlere
og dermed have kendskab til
de underdatabehandlere, der
behandler den dataansvarliges
persondata.
Generel godkendelse
betyder,
at databehandleren kan an-
vende nye underdatabehand-
lere uden en forudgående spe-
cifik godkendelse fra den da-
taansvarlige myndighed. Myn-
digheden skal dog underret-
tes om nye underdatabehand-
lere og kan eventuelt gøre ind-
sigelser.
Specifik godkendelse
betyder,
at databehandleren ikke må
benytte en ny underdatabe-
handler, før myndigheden spe-
cifikt har godkendt den nye
underdatabehandler.
Boks 4
Eksempler på myndigheder, der ikke havde kendskab til alle
underdatabehandlere
Forsvarsministeriets Materiel- og Indkøbsstyrelse
Forsvarsministeriets Materiel- og Indkøbsstyrelse (FMI) har anvendt en privat it-leve-
randør til at opbevare følsomme og fortrolige personoplysninger. FMI fandt i forbindelse
med undersøgelsen ud af, at leverandøren havde benyttet en global cloud-udbyder som
underdatabehandler, uden at FMI havde godkendt eller var blevet orienteret herom. FMI
har efterfølgende opsagt samarbejdet med leverandøren.
Arbejdstilsynet
Arbejdstilsynet har anvendt en privat it-leverandør til behandling af personoplysninger,
som omfatter følsomme personoplysninger og cpr-numre. Arbejdstilsynet fandt i forbin-
delse med undersøgelsen ud af, at databehandleren opbevarede data i Norge og an-
vendte en global cloud-udbyder som underdatabehandler, uden at Arbejdstilsynet var
bekendt hermed. Arbejdstilsynet var derimod af den opfattelse, at data blev opbevaret i
Danmark, og at databehandleren ikke anvendte underdatabehandlere. Der var ikke i da-
tabehandleraftalen taget stilling til, om Arbejdstilsynet skulle godkende underdatabe-
handlere. Arbejdstilsynet har afsluttet samarbejdet med den pågældende databehand-
ler.
Sundhedsdatastyrelsen
Sundhedsdatastyrelsen har anvendt en privat it-leverandør til at opbevare Landspa-
tientregisteret. Sundhedsdatastyrelsen fandt i forbindelse med undersøgelsen ud af, at
databehandleren uden styrelsens godkendelse anvender en underdatabehandler, selv
om det fremgår af databehandleraftalen, at Sundhedsdatastyrelsen specifikt skal god-
kende brugen af underdatabehandlere.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0037.png
30
| Myndighedernes styring af databehandlere
Tilsyn med underdatabehandlere
55. Det er Datatilsynets vurdering, at den dataansvarlige skal leve op til kravet om an-
svarlighed og kunne påvise, om databehandlingen hos underdatabehandlere overhol-
der databehandleraftalen og reglerne i GDPR. Vi har derfor undersøgt, om myndighe-
derne har sikret, at der er ført tilsyn med underdatabehandlere, dvs. at enten myndig-
heden selv eller databehandleren har ført tilsyn med underdatabehandlere. Figur 10
viser, om myndighederne har sikret, at der er ført tilsyn med underdatabehandlere af
myndighedernes it-systemer.
Figur 10
Tilsyn med underdatabehandlere
(Antal it-systemer)
10
8
6
4
2
0
5 %4 %
42 %
49 %
(Andel af alle it-systemer)
Miljø- og Fødevareministeriet
Beskæftigelsesministeriet
Transport- og Boligministeriet
Udlændinge- og Integrationsministeriet
Erhvervsministeriet
Børne- og Undervisningsministeriet
Klima-, Energi- og Forsyningsministeriet
Sundheds- og Ældreministeriet
Social- og Indenrigsministeriet
Uddannelses- og Forskningsministeriet
Forsvarsministeriet
Der er ført tilsyn med alle underdatabehandlere
Der er ført tilsyn med nogle af underdatabehandlerne
Der er planlagt tilsyn med underdatabehandlere, som endnu ikke er udført
Der er hverken ført eller planlagt tilsyn med underdatabehandlere
Note: n=93 it-systemer fordelt på 17 myndigheder. Der indgår kun systemer, hvor der anvendes underdatabehandlere. For de resterende 55 syste-
mer har databehandleren oplyst, at der ikke anvendes underdatabehandlere. Kirkeministeriet indgår ikke i opgørelsen, idet ministeriet ikke
benytter underdatabehandlere for nogen af sine 9 systemer i undersøgelsen.
Kilde:
Rigsrevisionen.
Region Midtjylland
Justitsministeriet
Finansministeriet
Skatteministeriet
Kulturministeriet
Statsministeriet
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Myndighedernes styring af databehandlere |
31
Det fremgår af figur 10, at myndighederne ikke har sikret, at der er ført eller planlagt til-
syn med underdatabehandlerne for 49 % af deres it-systemer, hvor der benyttes un-
derdatabehandlere. 7 ud af de 17 myndigheder har for over halvdelen af deres syste-
mer ikke sikret, at der er ført eller planlagt tilsyn med deres underdatabehandlere.
Myndighederne har dog sikret, at der er ført tilsyn med alle underdatabehandlere for
42 % af systemerne. 6 ud af de 17 myndigheder har sikret, at der er ført tilsyn med
alle underdatabehandlere for mindst to tredjedele af deres systemer, hvor der benyt-
tes underdatabehandlere.
Resultater
Undersøgelsen viser, at myndighederne for 24 % af it-systemerne med følsomme el-
ler fortrolige persondata ikke har en plan for at føre tilsyn med deres databehandlere.
Desuden findes der for 23 % af systemerne kun en overordnet tilsynsplan, som ikke
forholder sig til de specifikke systemer. Det betyder, at myndighederne for knap halv-
delen af systemerne ikke har taget stilling til, hvor ofte eller hvordan der skal føres til-
syn med databehandlerne for de specifikke systemer, som opbevarer følsomme eller
fortrolige persondata.
Undersøgelsen viser desuden, at myndighederne for 23 % af systemerne ikke har ført
tilsyn med deres databehandlere. Undersøgelsen viser også, at myndighederne ikke
har kunnet dokumentere, at der er blevet fulgt op på 40 % af deres udførte tilsyn. Det
betyder efter Rigsrevisionens vurdering, at disse tilsyn ikke har tjent deres egentlige
formål, når myndigheden ikke forholder sig til resultaterne af tilsynet.
Hvis myndighederne ikke fører tilsyn med deres databehandlere, er der bl.a. risiko
for, at de ikke har et opdateret og retvisende billede af, hvilke underdatabehandlere
der behandler deres persondata. Undersøgelsen viser, at myndighederne ikke har
haft kendskab til alle underdatabehandlere for 24 % af de systemer, hvor underdata-
behandlere behandler følsomme eller fortrolige persondata. Udlændinge- og Integra-
tionsministeriet, Forsvarsministeriet og Region Midtjylland har kun haft kendskab til
alle underdatabehandlere for halvdelen eller færre af deres systemer, hvor underda-
tabehandlere behandler deres persondata.
Endelig viser undersøgelsen, at myndighederne for 49 % af systemerne ikke har sik-
ret, at der er ført tilsyn med underdatabehandlere, som behandler følsomme eller for-
trolige persondata. Det betyder, at myndighederne i disse tilfælde ikke har haft vis-
hed om, hvorvidt underdatabehandlerne overholder databehandleraftalen og data-
beskyttelsesreglerne.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0039.png
32
| Understøttelse af myndighedernes styring af databehandlere
3. Understøttelse af
myndighedernes styring
af databehandlere
Delkonklusion
Justitsministeriet, herunder Datatilsynet, og Finansministeriet har ikke i
tilstrækkelig grad understøttet de øvrige myndigheders styring af databe-
handlere.
Justitsministeriet, Datatilsynet og Digitaliseringsstyrelsen har udgivet 20 vejledninger,
som de vurderede var nødvendige for at understøtte myndighederne i deres implemen-
tering af GDPR. Det finder Rigsrevisionen positivt.
8 af de 20 vejledninger udkom imidlertid, efter GDPR blev gældende. Rigsrevisionen
finder det uhensigtsmæssigt, at vejledningerne er kommet så sent, da offentlige myn-
digheder og private virksomheder dermed har manglet flere relevante vejledninger på
det tidspunkt, hvor GDPR blev gældende. Datatilsynets vejledning om risikovurderin-
ger og Digitaliseringsstyrelens vejledning om cloud-services udkom mere end 1 år efter
GDPR.
Rigsrevisionen finder det utilfredsstillende, at Justitsministeriet endnu ikke har udgivet
hverken en bekendtgørelse eller en vejledning om lokationskravet (tidligere krigsreg-
len), som bestemmer, hvilke systemer der af hensyn til statens sikkerhed skal opbeva-
res i Danmark. Særligt den manglende vejledning har skabt usikkerhed blandt myndig-
hederne om, hvilke systemer der potentielt skal opbevares i Danmark.
Rigsrevisionens spørgeskemaundersøgelse viser, at størstedelen af myndighederne
vurderer, at det samlede vejledningsmateriale har understøttet dem i at udarbejde da-
tabehandleraftaler. Myndighederne vurderer dog også, at vejledningsmaterialet i min-
dre grad har understøttet deres arbejde med at udarbejde risikovurderinger og føre til-
syn med deres databehandlere.
Datatilsynet har ikke ført et risikobaseret tilsyn. Datatilsynet har ikke udarbejdet risiko-
analyser til at understøtte planlægningen af sit tilsyn og har ikke opdateret sin strate-
gi, siden GDPR blev gældende i maj 2018. Datatilsynet har ikke kunnet dokumentere,
at de tilsyn, som Datatilsynet har planlagt, er udvalgt ud fra en risikobetragtning. Det
betyder, at det er usikkert, om Datatilsynet har anvendt de tilgængelige resurser til at
føre tilsyn, der hvor risikoen er størst.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0040.png
Understøttelse af myndighedernes styring af databehandlere |
33
Datatilsynet har kun afsluttet 8 tilsyn med offentlige myndigheder og 14 tilsyn med pri-
vate virksomheder, siden GDPR blev gældende. Det betyder, at der er få afgørelser, som
myndighederne kan benytte som fortolkningsbidrag til at overholde GDPR. Det betyder
også, at risikoen for at blive opdaget i overtrædelser af GDPR – og dermed tilsynenes
præventive effekt – har været relativt lav. Ingen af de afsluttede planlagte tilsyn blev
afsluttet inden for 6 måneder, selv om Datatilsynet har et mål om, at 80 % af tilsynene
skal være afsluttet inden for 6 måneder. Hvis Datatilsynet havde afsluttet 80 % af sine
planlagte tilsyn inden for 6 måneder, kunne Datatilsynet have afsluttet mindst 50 tilsyn
inden udgangen af 2019.
56. Dette kapitel handler om, hvorvidt Justitsministeriet, herunder Datatilsynet, og Fi-
nansministeriet i tilstrækkelig grad har understøttet de øvrige myndigheders styring
af databehandlere. Vi undersøger de 3 myndigheders vejledningsindsats, og om Da-
tatilsynet har ført et risikobaseret tilsyn.
3.1. Vejledningsindsats
57. Vi har undersøgt, om Justitsministeriet, herunder Datatilsynet, og Digitaliserings-
styrelsen under Finansministeriet rettidigt har vejledt de øvrige myndigheder i forbin-
delse med GDPR. Vi har desuden undersøgt, om vejledningerne har understøttet myn-
dighederne i deres arbejde med styring af databehandlere.
58. Det er Datatilsynets vurdering, at den øgede bevidsthed hos offentlige og private
aktører har nødvendiggjort yderligere og mere fyldestgørende vejledning om udvalg-
te emner i forhold til databeskyttelsesreglerne. Det var også Justitsministeriets vur-
dering, at der var et stort behov for, at der i løbet af 2017 blev udarbejdet vejledninger
om centrale emner i GDPR.
59. Justitsministeriet har oplyst, at ministeriets forpligtelse til at vejlede offentlige myn-
digheder om databeskyttelsesreglerne ikke går længere end kravet om god forvalt-
ningsskik. Det følger af kravet om god forvaltningsskik, at en myndighed i et vist om-
fang skal sørge for fornøden information om sit ressortområde.
Rettidig vejledning i forbindelse med GDPR
60. I april 2016 igangsatte Justitsministeriet et projektarbejde, der havde til formål at
indrette dansk lovgivning efter GDPR og udbrede kendskabet til de nye regler. En sty-
regruppe bestående af Justitsministeriet, Datatilsynet, Digitaliseringsstyrelsen og Er-
hvervsstyrelsen var ansvarlig for projektarbejdets gennemførelse. Styregruppen skul-
le bl.a. hurtigt afklare de nye krav i GDPR og på den måde danne grundlag for at udar-
bejde praktisk anvendelige vejledninger. Projektarbejdet mundede bl.a. ud i en om-
fangsrig betænkning, som beskriver, hvordan GDPR påvirker øvrig dansk lovgivning.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
34
| Understøttelse af myndighedernes styring af databehandlere
Styregruppen fordelte rollen som ansvarlig for 12 vejledninger mellem Justitsministe-
riet, Datatilsynet og Digitaliseringsstyrelsen. Det var planen, at den sidste af de 12 vej-
ledninger skulle udkomme i januar 2018 – altså 4 måneder før, GDPR blev gældende.
Ud over de 12 vejledninger, som blev aftalt i styregruppen, udgav Datatilsynet og Ju-
stitsministeriet yderligere 8 vejledninger relateret til GDPR og databeskyttelse. Sam-
let set har Datatilsynet udgivet størstedelen af vejledningerne. Datatilsynet har oplyst,
at behovet for at udarbejde de vejledninger, som ikke var en del af projektarbejdet,
først opstod, efter GDPR blev gældende. Det er Datatilsynets opfattelse, at de 8 vej-
ledninger derfor ikke skulle udarbejdes, inden GDPR blev gældende.
61. Figur 11 viser, hvornår de 12 planlagte vejledninger udkom i forhold til GDPR (25.
maj 2018) og i forhold til den sidste planlagte vejledning i projektarbejdets udgivel-
sesplan (januar 2018), samt hvornår de 8 yderligere vejledninger udkom i forhold til
GDPR.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0042.png
Understøttelse af myndighedernes styring af databehandlere |
35
Figur 11
Oversigt over, hvornår de 20 vejledninger udkom
Planlagte vejledninger
Cloud computing
Registreredes rettigheder
Sidste planlagte vejledning
(januar 2018)
GDPR
(25. maj 2018)
Behandlingssikkerhed – databeskyttelse gennem design og standardindstillinger
Konsekvensanalyse
Håndtering af brud på persondatasikkerhed
Adfærdskodekser og certificeringsordning
Fortegnelse
Databeskyttelsesrådgiver
Samtykke
Databehandlere og dataansvarlige
Generel informationspjece om forordningen
Overførsler af personoplysninger til tredjelande
-12 -10 -8 -6 -4 -2
0
2
4
6
8
10 12 14 16 18
Ikke-planlagte vejledninger
Risikovurdering
Dataansvar for konsulenter og vikarer
Frivillige foreningers behandling af personoplysninger
Databeskyttelse i forbindelse med ansættelsesforhold
Underretning om indsamling af oplysninger
Tilsyn med databehandlere og underdatabehandlere
Skabelon til en aftale om fælles dataansvar
Skabelon for standardbehandleraftale
-12 -10 -8 -6 -4 -2
0
2
4
6
8
10 12 14 16 18
Antal måneder i forhold til GDPR
Vejledningen udkom før GDPR
eller før den sidste planlagte vejledning
Vejledningen udkom før GDPR,
men efter den sidste planlagte vejledning
Vejledningen udkom efter GDPR
Note: Figuren er baseret på første udgivelse af vejledningerne. Nogle vejledninger er sidenhen blevet opdateret.
Kilde:
Rigsrevisionens opgørelse på baggrund af offentliggjorte vejledninger og tidsplaner.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
36
| Understøttelse af myndighedernes styring af databehandlere
Det fremgår af figur 11, at 7 af de 12 planlagte vejledninger udkom mindst 4 måneder
før GDPR, som de skulle ifølge projektarbejdets udgivelsesplan. 2 af de planlagte vej-
ledninger udkom inden for de sidste 4 måneder op til GDPR, mens de resterende 3
planlagte vejledninger udkom, efter GDPR blev gældende. Digitaliseringsstyrelsens
vejledning om cloud computing udkom først i november 2019, ca. 1�½ år efter GDPR.
Digitaliseringsstyrelsen igangsatte arbejdet i oktober 2017. I december 2017 og igen i
februar 2018 tilkendegav Datatilsynet, at det var vanskeligt at se, at vejledningen i sin
nuværende form var egnet som en vejledning om fortolkning af GDPR. Digitaliserings-
styrelsen har oplyst, at styrelsen efterfølgende afventede en opdateret vejledning fra
Datatilsynet om overførsel af personoplysninger til tredjelande, som udkom i juni 2019,
og Justitsministeriets vejledning om lokationskravet (tidligere krigsreglen), der endnu
ikke er udkommet.
Forsinkelsen af cloud-vejledningen har betydet, at myndighederne i nogle tilfælde har
været usikre på, hvordan cloud-services kan anvendes inden for databeskyttelses-
reglerne. 14 % af myndighederne har i vores spørgeskemaundersøgelse givet udtryk
for, at de havde spørgsmål vedrørende cloud, som de ikke kunne få svar på gennem
den eksisterende vejledningsindsats.
Det fremgår også af figuren, at 5 af de 8 ikke-planlagte vejledninger udkom efter GDPR,
mens de resterende 3 udkom, inden GDPR blev gældende. Af de 5 vejledninger var
det særligt vejledningen om risikovurderinger, som udkom lang tid efter, at GDPR blev
gældende. Datatilsynet har oplyst, at behovet for en vejledning om risikovurderinger
først opstod i forbindelse med, at Rådet for Digital Sikkerhed kontaktede Datatilsy-
net i begyndelsen af 2019. Datatilsynet har også oplyst, at reglerne om risikovurderin-
ger var gældende under persondataloven, og at myndighederne i styregruppen prio-
riterede at udgive vejledninger om nye regler. Endelig har Datatilsynet oplyst, at for-
holdene vedrørende risikovurderinger beskrives i Justitsministeriets betænkning. Det
er imidlertid Rigsrevisionens vurdering, at betænkningen i sig selv ikke kan stå i ste-
det for en praktisk anvendelig vejledning, og at risikovurderingen er et helt grundlæg-
gende element i implementeringen af GDPR, som Datatilsynet af egen drift burde ha-
ve vejledt om tidligere.
62. Justitsministeriet vurderer, at ministeriets vejledningsindsats er gået langt videre,
end hvad ministeriet har været forpligtet til ifølge kravet om god forvaltningsskik. Rigs-
revisionen er enig i, at Justitsministeriet ikke er yderligere forpligtet til at vejlede om
databeskyttelsesreglerne, end hvad der følger af kravet om god forvaltningsskik. Rigs-
revisionen konstaterer imidlertid, at Justitsministeriet selv har fundet det relevant at
vejlede om databeskyttelsesreglerne, og finder det derfor vigtigt – ud fra hensynet til
en rettidig implementering af GDPR – at de relevante vejledninger blev udgivet, inden
GDPR blev gældende.
63. Flere myndigheder oplyser i forbindelse med vores spørgeskemaundersøgelse, at
det har været en udfordring, at en række vejledninger udkom meget sent i forhold til
GDPR. Desuden viser spørgeskemaundersøgelsen, at 30 % af de adspurgte myndig-
heder vurderer, at de selv har igangsat initiativer, som kunne have været undgået, hvis
vejledningerne havde været mere konkrete, mere omfangsrige eller var udkommet
tidligere. Datatilsynet har i den forbindelse oplyst, at Datatilsynet kun kan udøve vej-
ledning af mere generel karakter. Det skyldes, at konkret rådgivning kan fratage Da-
tatilsynet muligheden for efterfølgende at føre tilsyn med overholdelsen af reglerne.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0044.png
Understøttelse af myndighedernes styring af databehandlere |
37
Datatilsynet vurderer derfor, at der kan være tilfælde, hvor det vil være nødvendigt for
den enkelte myndighed at inddrage ekstern bistand. Rigsrevisionen er enig i, at Data-
tilsynets rådgivning kan blive så konkret, at det kan være vanskeligt efterfølgende at
føre tilsyn med overholdelsen af reglerne. Rigsrevisionen kan ikke vurdere, om vej-
ledningerne har været tilstrækkeligt omfangsrige eller konkrete, men vurderer ude-
lukkende, om de er udkommet rettidigt. Boks 5 beskriver 2 eksempler på initiativer,
som myndigheder tog, og som myndighederne selv vurderede kunne have været und-
gået, hvis vejledningerne var udkommet tidligere.
Boks 5
Eksempler på initiativer, som myndighederne vurderede kunne
have været undgået, hvis vejledningerne var udkommet tidligere
Klima-, Energi- og Forsyningsministeriet
Klima-, Energi- og Forsyningsministeriets databeskyttelsesrådgiver tog initiativ til, at der
blev indhentet bistand fra et revisionshus til at udvikle en metodik for at gennemføre ri-
sikovurderinger, idet Datatilsynets vejledning om risikovurderinger først udkom 1 år ef-
ter, at GDPR blev gældende.
Region Midtjylland
Region Midtjylland har i samarbejde med de øvrige regioner udarbejdet egne skabelo-
ner til bl.a. databehandleraftaler og konsekvensanalyser, fordi regionen har oplevet, at
vejledningerne generelt er udkommet sent og har været for overordnede i deres indhold
til at være retningsgivende i arbejdet med outsourcing af persondata. Herunder har re-
gionen oplevet, at vejledningen om dataansvarlige og databehandlere ikke skaber klar-
hed om, hvornår der er tale om behandling af personoplysninger, som kræver en data-
behandleraftale. Forsinkelsen af vejledningen om brug af cloud og vejledningen om lo-
kationskravet (tidligere krigsreglen) har desuden været medvirkende til, at regionen har
været tilbageholdende med at anvende cloud-løsninger.
Spørgeskemaundersøgelsen viser også, at næsten 75 % af de adspurgte myndigheder
i høj eller meget høj grad vurderer, at vejledningsmaterialet har understøttet dem i at
udarbejde databehandleraftaler, mens tallet kun var knap 30 %, hvad angår risikovur-
deringer og tilsyn. Det kan fx skyldes, at vejledningen om risikovurderinger først udkom
mere end 1 år efter, at GDPR blev gældende.
Lokationskravet (tidligere krigsreglen)
64. Databeskyttelsesloven, som supplerer GDPR i dansk lovgivning, indeholder en
særlig bestemmelse for nye eller genudbudte it-systemer, der har betydning for sta-
tens sikkerhed – det såkaldte lokationskrav (tidligere krigsreglen). Lokationskravet
bestemmer, at disse systemer skal opbevares på servere i Danmark. Der kan være
tale om systemer med oplysninger, som fremmede magter kunne have interesse i, el-
ler hvor tabt adgang er en trussel mod, at offentlige myndigheder kan udfylde deres
funktion. Ofte vil der også være tale om systemer, som indeholder store mængder af
personoplysninger.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
38
| Understøttelse af myndighedernes styring af databehandlere
Af lovforslaget til databeskyttelsesloven fra oktober 2017 fremgik det, at justitsmini-
steren skulle udstede en bekendtgørelse, der gav et overblik over, hvilke it-systemer
der er omfattet af lokationskravet. Det fremgik også af lovforslaget, at justitsministe-
ren kunne udarbejde nærmere retningslinjer, som skulle følges, når myndigheder skal
vurdere, om deres it-systemer kan være omfattet af lokationskravet. Justitsministeri-
et planlagde at udfolde de nærmere retningslinjer i form af en vejledning om lokations-
kravet. Vejledningen skulle give myndighederne viden om, hvornår et system
kan
væ-
re omfattet af lokationskravet og derfor skal indmeldes til Justitsministeriet, som i sids-
te ende vurderer, om systemet er omfattet af lokationskravet.
Pr. 4. maj 2020 er hverken bekendtgørelse eller vejledning om lokationskravet offent-
liggjort.
65. Justitsministeriet sendte udkast til bekendtgørelse og vejledning i høring i juli 2019.
Flere myndigheder gav i deres høringssvar udtryk for, at der var en række uklarheder
i vejledningen, herunder:
uklarhed om, hvornår it-systemer kan være omfattet af lokationskravet, fx at det
er uklart, hvilke kriterier der lægges vægt på i vurderingen af, om et system kan væ-
re omfattet af lokationskravet
uklarhed om, hvad lokationskravet omfatter, fx om lokationskravet gælder al be-
handling af data eller kun opbevaring af data
uklarhed om, i hvilken udstrækning it-systemer, der er omfattet af lokationskravet,
stadig er omfattet af reglerne i GDPR.
Justitsministeriet lægger vægt på, at det er de enkelte ministerier, som skal henven-
de sig til Justitsministeriet, hvis der er tvivl om, hvorvidt et it-system kan være omfat-
tet af lokationskravet – uanset om der findes en vejledning herom eller ej. Ikke desto
mindre er formålet med Justitsministeriets vejledning netop at understøtte myndighe-
derne i at vurdere, om deres systemer
kan
være omfattet af lokationskravet, og der-
med om de i første omgang skal rette henvendelse til Justitsministeriet.
Resultater
Undersøgelsen viser, at Justitsministeriet, herunder Datatilsynet, og Digitaliserings-
styrelsen har udgivet 20 vejledninger i forbindelse med GDPR. Det finder Rigsrevisio-
nen positivt, da vejledningerne har kunnet understøtte en styrket overholdelse af da-
tabeskyttelsesreglerne blandt offentlige myndigheder. Rigsrevisionen finder det imid-
lertid uhensigtsmæssigt, at en række vejledninger udkom kort tid før GDPR, og at 8
vejledninger først udkom, efter GDPR blev gældende. Væsentlige vejledninger om ri-
sikovurderinger og cloud-services udkom således mere end 1 år efter GDPR. 14 % af
myndighederne har i forbindelse med Rigsrevisionens spørgeskemaundersøgelse
angivet, at de har manglet vejledningsmateriale om cloud-services. 30 % af myndig-
hederne vurderede, at de i nogle tilfælde selv har igangsat initiativer på baggrund af
GDPR, som efter deres vurdering kunne have været undgået, hvis vejledningerne hav-
de været mere konkrete, mere omfangsrige eller var udkommet tidligere.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0046.png
Understøttelse af myndighedernes styring af databehandlere |
39
Undersøgelsen viser også, at størstedelen af myndighederne vurderer, at vejlednings-
materialet har understøttet deres arbejde med at udarbejde databehandleraftaler,
men at vejledningsmaterialet i mindre grad har understøttet deres arbejde med at ud-
arbejde risikovurderinger og føre tilsyn med databehandlere. Det kan bl.a. skyldes, at
vejledningen om risikovurderinger først udkom mere end 1 år efter, at GDPR blev gæl-
dende.
Endelig viser undersøgelsen, at Justitsministeriet knap 2 år efter, at databeskyttelses-
loven er trådt i kraft, endnu ikke har offentliggjort en bekendtgørelse om lokations-
kravet, som ministeriet skal ifølge lovforslaget til databeskyttelsesloven fra oktober
2017. Justitsministeriet har heller ikke udgivet den planlagte vejledning om lokations-
kravet. Det har betydet, at retningslinjerne for, hvilke systemer myndighederne skal
indmelde til Justitsministeriet, ikke har været klare, og at flere myndigheder derfor
har været i tvivl om, hvilke systemer der af hensyn til statens sikkerhed kan være om-
fattet af lokationskravet og dermed skal opbevares i Danmark.
3.2. Datatilsynets tilsyn
66. Vi har undersøgt, om Datatilsynet har ført et risikobaseret tilsyn. Datatilsynets til-
synsaktivitet er vigtig, fordi Datatilsynets offentliggjorte tilsynsafgørelser er blandt de
centrale fortolkningsbidrag til myndigheders forståelse af databeskyttelsesreglerne.
Desuden giver tilsynene viden om, hvorvidt reglerne overholdes i praksis, ligesom til-
synene kan have en præventiv effekt, fordi myndigheder, der ikke overholder databe-
skyttelsesreglerne, kan få dårlig omtale og betragtelige bøder. Datatilsynets opgaver
er nærmere beskrevet i boks 6.
Boks 6
Datatilsynets opgaver
Datatilsynet vejleder og fører tilsyn med det offentlige og private virksomheder. Datatil-
synets opgaver er beskrevet i GDPR’s artikel 57. Af artiklen fremgår 22 nærmere speci-
ficerede opgaver. Her fremgår det bl.a. om Datatilsynets rådgivnings- og vejledningsind-
sats, at Datatilsynet skal fremme offentlighedens, Folketingets, regeringens, dataansvar-
liges, databehandleres og borgeres kendskab til reglerne i GDPR.
Desuden bidrager Datatilsynet til det fælleseuropæiske arbejde med at udarbejde ret-
ningslinjer og vejledninger samt yder telefonisk vejledning, deltager på konferencer m.m.
I 2019 var Datatilsynet bevilget 63 årsværk sammenlignet med 34 årsværk i 2017. Data-
tilsynet er i 2019 ikke kommet i mål med de nødvendige ansættelser og har derfor kun
været 56 årsværk. I perioden, fra GDPR blev gældende den 25. maj 2018 til 1. januar 2020,
har Datatilsynet modtaget 9.978 anmeldelser om brud på persondatasikkerheden. Sam-
let set har Datatilsynet oplevet en stigning på ca. 400 % i antallet af nyoprettede sager
fra 2017 til 2019.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
40
| Understøttelse af myndighedernes styring af databehandlere
Datatilsynets planlægning af tilsyn
67. Datatilsynet har ikke gennemført analyser af, hvilke behandlinger af persondata
der er forbundet med en særlig risiko i forhold til reglerne i GDPR. Datatilsynet har hel-
ler ikke udarbejdet en ny overordnet strategi, efter GDPR blev gældende, og har der-
for fortsat planlagt sit tilsyn på baggrund af strategien for 2016-2018, som blev udar-
bejdet i 2015.
Datatilsynet er i gang med at gennemføre en evaluering af sin tilsynsvirksomhed, som
skal indgå i et samlet projekt om en ny overordnet strategi for Datatilsynet.
68. Det fremgår af Datatilsynets strategi for 2016-2018, at Datatilsynet i sine tilsyns-
planer vil have fokus på behandlinger af personoplysninger, som indebærer en særlig
risiko for de registreredes rettigheder. Dette kan ifølge Datatilsynet omfatte temaer
som sletning af personoplysninger, anmeldelser om brud på persondatasikkerheden,
registreredes ret til indsigt i, hvilke oplysninger der er registreret om dem og behand-
ling af personoplysninger hos databehandlere. Datatilsynet har oplyst, at Datatilsynet
har valgt at føre tilsyn med aktører, som behandler følsomme personoplysninger eller
en stor mængde personoplysninger. Datatilsynet har ikke kunnet dokumentere, at den
faktiske planlægning af tilsyn er baseret på disse overvejelser.
69. Datatilsynet har, siden GDPR blev gældende, udarbejdet halvårlige tilsynsplaner.
Tilsynsplanerne indeholder 85 planlagte tilsyn for perioden 25. maj 2018 til udgangen
af 2019. De planlagte tilsyn dækker over 36 tilsyn med private virksomheder, 33 tilsyn
med kommuner, 4 tilsyn med regioner og 12 tilsyn med statslige myndigheder.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0048.png
Understøttelse af myndighedernes styring af databehandlere |
41
Datatilsynets gennemførte tilsyn
70. Figur 12 viser Datatilsynets planlagte tilsyn og ad hoc-tilsyn, fra GDPR blev gælden-
de til 1. januar 2020.
Figur 12
Planlagte tilsyn
Datatilsynets planlagte tilsyn og ad hoc-tilsyn efter GDPR fordelt på
kommuner, staten, regioner og private virksomheder
(Antal tilsyn)
Planlagte tilsyn er tilsyn, som
iværksættes på baggrund af
Datatilsynets halvårlige til-
synsplaner.
Ad hoc-tilsyn
40
35
30
25
20
15
10
1
29
3
2
9
2
Planlagte
Ad hoc-tilsyn er tilsyn, som
iværksættes som følge af kon-
krete hændelser, fx medieom-
tale, klager og anmeldelser.
6
8
2
29
22
5
5
Ad hoc
6
Ad hoc
0
3
1
Planlagte
1
Ad hoc
1
Planlagte
4
Ad hoc
Planlagte
Kommuner
Staten
Regioner
Private
virksomheder
Ikke-igangsatte
Igangsatte
Afsluttede
Note: Figuren viser, hvor mange af de 85 planlagte tilsyn og 49 ad hoc-tilsyn som Datatilsynet har igangsat
eller afsluttet siden GDPR. De tilsyn, som hverken er igangsat eller afsluttet, fremgår som ikke-igangsat-
te. Vi forstår et tilsyn som
afsluttet,
når Datatilsynet har offentliggjort en udtalelse på sin hjemmeside. Vi
forstår et tilsyn som
igangsat,
når Datatilsynet har sendt et åbningsbrev, gennemført et tilsynsbesøg
eller indhentet materiale, men endnu ikke har offentliggjort en udtalelse på sin hjemmeside. Figuren in-
deholder også tilsyn med retshåndhævende myndigheder, som er underlagt retshåndhævelsesloven.
Kilde:
Rigsrevisionen på baggrund af data fra Datatilsynet og Datatilsynets hjemmeside.
Det fremgå af figur 12, at Datatilsynet har afsluttet 11 ud sine 85 planlagte tilsyn, mens
Datatilsynet har igangsat yderligere 70 af sine planlagte tilsyn. 4 af de planlagte tilsyn
er endnu ikke igangsat. Desuden fremgår det det, at Datatilsynet har afsluttet 11 ad
hoc-tilsyn, igangsat 34 ad hoc-tilsyn og planlagt 4 ad hoc-tilsyn, som endnu ikke er
igangsat. Samlet set har Datatilsynet – ca. 1�½ år efter GDPR – afsluttet 22 tilsyn,
hvoraf de 8 vedrører offentlige myndigheder.
71. Datatilsynet har et mål om, at 80 % af Datatilsynets tilsyn skal afsluttes senest 6
måneder efter, at de er igangsat. De 11 afsluttede planlagte tilsyn tog i gennemsnit 9
måneder at afslutte, og ingen af tilsynene overholdt Datatilsynets egen målsætning
om at afslutte tilsyn inden for 6 måneder. 45 af de 70 igangsatte planlagte tilsyn har
været i gang i mere end 6 måneder, herunder 9 tilsyn i mere end 1 år. Datatilsynet har
oplyst, at muligheden for at pålægge større bøder, efter GDPR blev gældende, har
haft en negativ betydning for Datatilsynets sagsbehandlingstider for tilsynssager. Det
skyldes dels, at der er særligt høje krav til bevissikkerhed i straffesager, dels at dem,
der er underlagt tilsyn, i højere grad end tidligere udfordrer Datatilsynet i forbindelse
med tilsyn og stiller flere spørgsmål til processen.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0049.png
42
| Understøttelse af myndighedernes styring af databehandlere
Datatilsynet skulle ifølge sin egen tilsynsplan have igangsat 64 af de planlagte tilsyn
inden sommeren 2019. Hvis Datatilsynet havde opfyldt sit eget mål om at afslutte 80 %
af tilsynene inden for 6 måneder, kunne Datatilsynet have afsluttet mindst 50 af de
64 planlagte tilsyn inden udgangen af 2019.
72. Figur 13 viser, hvor stor en andel af offentlige myndigheder der har været omfattet
af Datatilsynets tilsyn (både planlagte og ad hoc), fra GDPR blev gældende til den 1. ja-
nuar 2020.
Figur 13
Datatilsynets tilsyn (både planlagte og ad hoc) efter GDPR i forhold til det samlede antal offent-
lige myndigheder
Kommuner
Staten
2%
35 %
3%
5%
2%
Regioner
0%
20 %
80 %
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Ikke-igangsatte
Igangsatte
Afsluttede
Note: Opgørelsen er baseret på, at der i perioden har været 98 kommuner, 5 regioner og 318 statslige myndigheder. Kommuner og regioner er opgjort
som samlede enheder, men vil hver især dække over forskellige forvaltninger, institutioner, sygehuse o.l. Antallet af statslige myndigheder er ud-
ledt på baggrund af Digitaliseringsstyrelsens åbne data om offentlige forvaltningsopgaver på form-online.dk. Udgangspunktet er, at der er tale
om statslige myndigheder, som fremgår af finansloven. Opgørelsen af statslige myndigheder adskiller sig fra den opgørelse, som Digitaliserings-
styrelsen anvender i forbindelse med sin opfølgning på ISO 27001, som omfatter 105 statslige myndigheder. Digitaliseringsstyrelsens opgørelse
omfatter imidlertid ikke statslige myndigheder som fx retsinstanser, ambassader og Nationalt Genom Center. Vi anvender derfor en bredere
opgørelse af statslige myndigheder. Det betyder også, at opgørelsen omfatter mindre råd og nævn.
Kilde:
Rigsrevisionen på baggrund af data fra Datatilsynet og Datatilsynets hjemmeside.
Det fremgår af figur 13, at Datatilsynets samlede tilsyn (både planlagte og ad hoc) om-
fatter 40 % af kommunerne, 7 % af staten og 100 % af regionerne. Dog dækker de af-
sluttede tilsyn kun 3 % af kommunerne, 2 % af staten og 0 % af regionerne. Opgjort på
ministerområder omfatter de 5 afsluttede tilsyn inden for staten 3 ud af 18 ministerom-
råder. Samlet set omfatter de planlagte tilsyn 10 ud af 18 ministerområder.
73. Ud over de omtalte tilsyn har Datatilsynet gennemført 128 tilsyn med statslige myn-
digheders, kommuners, regioners og private virksomheders udpegning af en databe-
skyttelsesrådgiver. Tilsynene blev udarbejdet på et skriftligt grundlag og indebar ikke
fysiske besøg. De 128 tilsyn er beskrevet i boks 7.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0050.png
Understøttelse af myndighedernes styring af databehandlere |
43
Boks 7
Tilsyn med udpegning af en databeskyttelsesrådgiver
122 af de 128 tilsyn blev ført med offentlige myndigheder. Tilsynene afdækkede:
om der var udpeget en databeskyttelsesrådgiver
om databeskyttelsesrådgiverens kontaktoplysninger var sendt til Datatilsynet.
Tilsynene viste, at alle de offentlige myndigheder havde udpeget en databeskyttelses-
rådgiver. 27 % af myndighederne havde imidlertid ikke sendt kontaktoplysninger til Da-
tatilsynet.
Resultater
Undersøgelsen viser, at Datatilsynet ikke har ført et risikobaseret tilsyn. Datatilsynet
har ikke udarbejdet selvstændige analyser af, hvilke behandlinger af personoplysnin-
ger der er forbundet med en særlig risiko i forhold til overholdelsen af GDPR. Datatil-
synet har ikke opdateret sin overordnede strategi siden 2015 og tilrettelægger derfor
stadig sine tilsyn på baggrund af sin strategi, fra før GDPR blev gældende. Desuden
har Datatilsynet ikke kunnet dokumentere, at de tilsyn, Datatilsynet har planlagt, er
udvalgt ud fra en risikobetragtning. Det betyder samlet set, at det er usikkert, om Da-
tatilsynet har anvendt de tilgængelige resurser til at føre tilsyn, der hvor risikoen er
størst, og dermed har opnået den størst mulige effekt af de midler, Datatilsynet har til
rådighed.
Undersøgelsen viser også, at Datatilsynet kun har afsluttet 22 tilsyn, siden GDPR blev
gældende, heraf vedrører 8 offentlige myndigheder og 14 private virksomheder. De 8
afsluttede tilsyn dækker en meget lille andel af de offentlige myndigheder. De få af-
sluttede tilsyn, siden GDPR blev gældende, betyder, at der er færre afgørelser og der-
med et manglende fortolkningsbidrag til databeskyttelsesreglerne, som offentlige myn-
digheder kan rette sig efter med henblik på at sikre overholdelse af databeskyttelses-
reglerne. Det betyder også, at den præventive effekt af Datatilsynets tilsynsaktivitet
kunne have været større.
Datatilsynet har afsluttet 11 af sine 85 planlagte tilsyn. Hvis Datatilsynet havde opfyldt
sit eget mål om at afslutte 80 % af sine tilsyn inden for 6 måneder, kunne Datatilsynet
have afsluttet mindst 50 planlagte tilsyn inden udgangen af 2019.
Rigsrevisionen, den 6. maj 2020
Lone Strøm
/Michala Krakauer
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
44
| Metodisk tilgang
Bilag 1. Metodisk tilgang
Formålet med undersøgelsen er at vurdere, om myndighederne har ydet en tilfreds-
stillende indsats for at sikre, at outsourcede følsomme og fortrolige persondata om
borgerne opbevares sikkert. Derfor har vi undersøgt følgende:
Har myndighederne haft en tilfredsstillende styring af databehandlere, som opbe-
varer følsomme eller fortrolige persondata?
Har Justitsministeriet, herunder Datatilsynet, og Finansministeriet i tilstrækkelig
grad understøttet de øvrige myndigheders styring af databehandlere?
I undersøgelsen indgår 17 ministerier og Region Midtjylland. Udenrigsministeriet ind-
går ikke i undersøgelsen, da ministeriet har oplyst, at ministeriet ikke har outsourcet
opbevaringen af følsomme eller fortrolige persondata. For de 17 ministerier indgår kun
myndigheder, hvor ministeren har instruktionsbeføjelse, hvilket typisk er departemen-
ter og styrelser. Vi har valgt at inddrage det regionale niveau i form af Region Midtjyl-
land. Region Midtjylland adskiller sig ikke umiddelbart fra de andre regioner på para-
metre som typen af følsomme og fortrolige persondata, typer af databehandlinger o.l.
Vi har inkluderet en region, fordi regionerne håndterer store mængder følsomme per-
sonoplysninger fra sundhedssektoren. I valget af region har vi desuden lagt vægt på,
at Datatilsynet ikke inden for de seneste år havde ført tilsyn med regionen med fokus
på samme tema, som denne undersøgelse.
Undersøgelsesperioden går fra april 2016, hvor GDPR blev vedtaget i EU, til den 1. ja-
nuar 2020, hvor vi afsluttede vores materialeindsamling.
Kvalitetssikring
Denne undersøgelse er kvalitetssikret via vores interne procedurer for kvalitetssik-
ring, som omfatter høring hos de reviderede samt ledelsesbehandling og sparring på
forskellige tidspunkter i undersøgelsesforløbet med chefer og medarbejdere i Rigsre-
visionen med relevante kompetencer.
Møder
Vi har holdt møder med alle ministerier og regioner. Formålet med møderne har været
at drøfte undersøgelsens formål og metode.
Vi har løbende holdt møder med Datatilsynet om undersøgelsens relation til databe-
skyttelsesreglerne. Vi har desuden holdt møder med Digitaliseringsstyrelsen om arbej-
det med at implementere ISO 27001 og med Statens It om overblik over it-systemer i
staten og ansvarsfordelingen mellem Statens It og de enkelte ministerier, når Statens
It er databehandler.
Derudover har vi holdt møder med en række interessenter på området i form af Bech
Bruun, Kammeradvokaten, Djøfs TechDK Kommissionen, REVI-IT og IT-branchen. For-
målet med møderne har været at få baggrundsinformation om området og et indblik
i, hvordan erhvervslivet og offentlige myndigheder har tacklet databeskyttelsesregler-
ne, herunder særligt implementeringen af GDPR.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Metodisk tilgang |
45
Vi har desuden holdt møde med Roskilde Kommune for at blive klogere på, hvordan
kommuner går til styringen af databehandlere, og for at høre nærmere om tabet af do-
kumenter for 80.000 borgere i 2018.
Endelig har vi holdt møde med Hanne Marie Motzfeldt, lektor i digital forvaltning på
Københavns Universitet, og Henrik Udsen, professor i it-ret på Københavns Universi-
tet, for at få en dybere forståelse af GDPR’s betydning for offentlige myndigheders
styring af databehandlere.
Kapitel 2: Myndighedernes styring af databehandlere
Væsentlige dokumenter
Vi har gennemgået en række dokumenter fra myndighederne, herunder:
lovgivning om databeskyttelse, herunder GDPR (databeskyttelsesforordningen)
med virkning fra den 25. maj 2018, databeskyttelsesloven med virkning fra den
25. maj 2018 og persondataloven med virkning fra 2000, som implementererede
databeskyttelsesdirektivet fra 1995 i Danmark
risikovurderinger
databehandleraftaler og øvrigt aftalegrundlag
tilsynsplaner
revisorerklæringer og anden dokumentation for gennemførte tilsyn
mailkorrespondance, notater og mødereferater.
Udvælgelse af it-systemer
Formålet med gennemgangen af de outsourcede it-systemer, som opbevarer følsom-
me eller fortrolige personoplysninger, er at undersøge myndighedernes overordnede
styring af databehandlere.
Vi bad i forbindelse med undersøgelsen alle ministerier og Region Midtjylland om at
indsende en bruttoliste over outsourcede it-systemer, som opbevarede følsomme
og/eller fortrolige persondata. Vi bad i første omgang myndighederne om at udfylde
et skema for alle deres systemer med persondata og give ca. 20 grundoplysninger
om hvert system, fx typer af persondata og oplysninger om databehandler og even-
tuelle underdatabehandlere. På baggrund af anmodningen meldte en række ministe-
rier tilbage, at anmodningen ville medføre et meget betragteligt resursetræk, som ik-
ke stod mål med formålet. Det er vores opfattelse, at myndigheder bør have et over-
blik over deres it-portefølje, som gør det muligt at besvare en sådan anmodning med
et begrænset resurseforbrug. Da det for flere myndigheder ikke var tilfældet, bad vi i
stedet myndighederne angive følgende for hvert system:
systemnavn
dataansvarlig myndighed
systemets nøglefunktion
eventuelle kommentarer.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
46
| Metodisk tilgang
På den baggrund sendte myndighederne oplysninger om ca. 950 it-systemer, som le-
vede op til undersøgelsens afgrænsning. Vi udtog på baggrund af bruttolisten 10 sy-
stemer fra hvert ministerområde inkl. 2 systemer, hvor Statens It var databehandler,
og 10 systemer fra Region Midtjylland. Hvis myndighederne havde færre end 10 syste-
mer, som var omfattet af undersøgelsens afgrænsning, udtog vi alle deres systemer,
men stadig højst 2 systemer, hvor Statens It var databehandler. Vi har valgt et begræn-
set antal systemer, hvor Statens It er databehandler, da databehandlerkonstruktio-
nerne og aftalegrundlaget er ens i de fleste tilfælde, og Finansministeriet fører tilsyn
med Statens It på vegne af de andre statslige myndigheder. For systemer, hvor Sta-
tens It er databehandler, har vi ikke udtaget systemer på driftsmodel 1, men kun sy-
stemer inden for driftsmodellerne 1a, 2, 2a, 3 og 5. Det skyldes, at ansvaret for syste-
mer på driftsmodel 1 kun ligger hos Statens It. Vi har undersøgt, om Finansministeriet
har ført tilsyn med Statens It og Statens Administration. Ligesom det er tilfældet for
de øvrige tilsyn, har vi ikke vurderet, om indholdet af tilsynet har været tilstrækkeligt.
På baggrund af bruttolisten udvalgte vi i første omgang 158 it-systemer til undersøgel-
sen. I 35 tilfælde fandt myndighederne efter udvælgelsen ud af, at systemet alligevel
ikke levede op til undersøgelsens afgrænsning. Det var fx tilfælde, hvor systemet slet
ikke opbevarede persondata, hvor der ikke var tale om følsomme eller fortrolige per-
sondata, eller hvor myndigheden ikke var dataansvarlig for de persondata, der var i
systemet. I disse tilfælde udvalgte vi som udgangspunkt andre systemer som erstat-
ning. I en række tilfælde modtog vi imidlertid nye oplysninger så sent i forløbet, at vi
ikke erstattede systemerne. På den baggrund har vi undersøgt i alt 148 systemer.
Udvælgelsen af it-systemerne var baseret på en risikobetragtning. Vi har valgt en risi-
kobaseret tilgang til udvælgelsen, fordi vi vurderer, at det er mere væsentligt at under-
søge de mest risikofyldte systemer end at kunne generalisere til alle outsourcede sy-
stemer, som opbevarer følsomme eller fortrolige persondata. I vores udvælgelse tog
vi højde for myndighedernes egne oplysninger om systemets funktion, det formode-
de omfang af personoplysninger og typer af data. Vi lagde også vægt på at variere på
underliggende myndigheder inden for ministerområderne og typen af systemer for at
favne så bredt som muligt. Typen af systemer kan fx omfatte journalsystemer, registre
og sagsbehandlingssystemer.
Vi har afgrænset os fra it-systemer, som var under udfasning eller var genstand for
selvstændige undersøgelser fra Rigsrevisionen. Vi har desuden afgrænset os fra fæl-
lesstatslige it-systemer, hvor kun én central myndighed er dataansvarlig.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
Metodisk tilgang |
47
Gennemgang af it-systemer
Vi har gennemgået 22 spørgsmål for de 148 it-systemer. Spørgsmålene er fordelt på 3
temaer: risikovurderinger, databehandleraftaler og tilsyn. Tilsyn omfatter også spørgs-
mål vedrørende brugen af underdatabehandlere. Hvert spørgsmål har en række ud-
faldsrum. Vi bad i første omgang ministerierne angive det udfaldsrum, som de vurde-
rede var mest retvisende, og medsende dokumentation herfor. Efterfølgende har vi
gennemgået myndighedernes svar og dokumentation for alle systemerne. For at sik-
re en ensartet vurdering på tværs af systemerne er alle systemer gennemgået af
mindst 2 fra projektgruppen. Alle tvivlsspørgsmål er drøftet i hele projektgruppen, og
vi har genbesøgt mange af vores vurderinger undervejs i undersøgelsen for at sikre
validiteten og konsistensen af vurderingerne på tværs af systemer. Efterfølgende har
myndighederne haft mulighed for at kommentere på vores vurderinger og sende sup-
plerende materiale i deres høringssvar, som vi har taget i betragtning i vores endelige
vurderinger.
Vi har kun vurderet spørgsmålene på baggrund af skriftlig dokumentation. Det er Rigs-
revisionens opfattelse, af det er udtryk for god styring hos offentlige myndigheder, at
overvejelser og beslutninger i henhold til databeskyttelse dokumenteres skriftligt. Det
skyldes, at det fx for risikovurderinger er væsentligt for myndighederne senere at kun-
ne genbesøge risikovurderingerne, når de skal føre tilsyn, genforhandle databehand-
leraftaler e.l., ligesom skriftlighed vil sikre ensartethed på tværs af risikovurderinger-
ne. Samtidig stiller GDPR krav til, at myndigheder i højere grad end tidligere skal do-
kumentere deres overvejelser i forhold til overholdelse af databeskyttelsesreglerne.
Vi har sat skæringsdatoer for, hvornår dokumentationen skal have været udarbejdet,
for at vi tager det i betragtning i undersøgelsen. Det skyldes hensynet til, at resulta-
terne skal illustrere situationen på det tidspunkt, hvor vi indsamlede materiale. For
risikovurderinger og databehandleraftaler har vi sat skæringsdatoen til den 20. sep-
tember 2019, som var den dato, hvor myndighederne skulle fremsende materiale for
systemerne. For tilsynsaktiviteter har vi sat skæringsdatoen til den 20. august 2019,
hvor vi fremsendte materialeanmodningen til myndighederne. Forskellen skyldes, at
risikovurderinger og databehandleraftaler ofte har længere forløb, og at myndighe-
derne skulle have mulighed for at afslutte igangværende arbejde. Flere tilsynsaktivi-
teter, fx at indhente en generel revisorerklæring eller stille opfølgende spørgsmål til
en databehandler, kan gøres med en relativt kort tidsfrist. Vi har derfor vurderet, at
det vil give det mest retvisende billede, uafhængigt af undersøgelsen, at tilsynsaktivi-
teter og godkendelse af underdatabehandlere skulle være udført inden fremsendel-
sen af materialeanmodningen.
For visse spørgsmål, fx datas faktiske fysiske placering og adgang til data fra tredje-
lande, har vi baseret os på skriftlige oplysninger fra databehandlere og ikke fra myn-
dighederne selv. Af tabel A fremgår de 22 spørgsmål, som vi har gennemgået for alle
148 it-systemer. Af tabellen fremgår også de mulige udfaldsrum og kriterier, som vi
har lagt til grund for vores vurderinger og konklusioner. For figur 9 om kendskab til al-
le underdatabehandlere gør det sig gældende, at spørgsmålet ikke fremgår eksplicit
af kodebogen. Figuren er baseret på data fra spørgsmål 3.e om godkendelse af under-
databehandlere.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0055.png
48
| Metodisk tilgang
Tabel A
Kodebog
Tema 1: Risikovurderinger
Spørgsmål
1.a) Er der udarbejdet
en risikovurdering?
Udfaldsrum
I. Ja
II. Nej
Kriterier
Der foreligger et skriftligt dokument, som forholder sig til ”risici” i forhold til det
specifikke system eller den behandling, der er knyttet til det specifikke system.
Der foreligger
ikke
et skriftligt dokument, som forholder sig til ”risici” i forhold
til det specifikke system eller den behandling, der er knyttet til det specifikke
system.
Dato for, hvornår risikovurderingen er færdiggjort/underskrevet.
Risikovurderingen er færdiggjort forud for, at databehandleraftalen er indgået.
Der er få tilfælde, hvor en risikovurdering er udarbejdet over flere måneder og
er endeligt godkendt kort tid efter databehandleraftalen. I de tilfælde har vi ko-
det ”ja”, hvor der foreligger dokumentation for, at udarbejdelsen af risikovurde-
ringen er påbegyndt inden eller foregået i forbindelse med udarbejdelsen af da-
tabehandleraftalen.
Risikovurderingen er færdiggjort, efter databehandleraftalen er indgået.
Risici eller konsekvenser for de registrerede rettigheder nævnes eksplicit i risiko-
vurderingen. Det er ikke tilstrækkeligt, at der fx nævnes omfanget eller typen af
persondata, hvis ikke det sættes i kontekst til de risici eller konsekvenser, det kan
have for de registrerede ved fx databrud eller uvedkommendes adgang til data.
Risici eller konsekvenser for de registrerede rettigheder nævnes
ikke
eksplicit i
risikovurderingen.
Risikovurderingen indeholder både en vurdering af sandsynligheden for, at sik-
kerhedshændelser sker, og konsekvensen af sådanne sikkerhedshændelser.
Risikovurderingen indeholder en vurdering af sandsynlighed eller konsekvens
eller ingen af delene.
1.b) Risikovurderin-
gens dato
1.c) Ligger risiko-
vurderingen forud
for databehandler-
aftalen?
I. [dato]
I. Ja
II. Nej
1.d) Forholder risiko-
vurderingen sig til
risici for de registrere-
des rettigheder?
I. Ja
II. Nej
1.e) Indeholder risiko-
vurderingen overve-
jelser om konsekvens
og sandsynlighed?
I. Ja
II. Nej
Tema 2: Databehandleraftaler
2.a) Er der indgået en
databehandleraftale?
I. Ja
Der eksisterer en skriftlig databehandleraftale, som omhandler det specifikke
system, og hvor navnet på den dataansvarlige og databehandleren fremgår.
Hvis der i aftalen er krav om begge parters underskrift, før aftalen er gældende,
vurderer vi kun, at den er gældende, hvis både den dataansvarlige og databe-
handleren har underskrevet aftalen. Vi kontrollerer ikke, om indholdet af data-
behandleraftalen lever op til GDPR.
Vi er stødt på enkelte tilfælde, hvor der ikke foreligger en gyldig databehandler-
aftale, men hvor myndigheden har en kontrakt eller andet aftalegrundlag, som i
et vist omfang regulerer forholdet mellem den dataansvarlige og databehandle-
ren.
Der eksisterer
ikke
en skriftlig databehandleraftale, som omhandler det speci-
fikke system, eller aftalen er ikke underskrevet, selv om der i aftalen er krav om
underskrift.
Der eksisterer ikke en skriftligt databehandleraftale, men myndigheden oplyser,
at den er under udarbejdelse.
Dato for databehandleraftalens ikrafttræden eller dato for sidste underskrift,
hvis der er krav om underskrift.
Datas fysiske placering er beskrevet i aftalen. Det kan enten være, at data
skal
opbevares i et bestemt land eller en bestemt region eller
ikke må
forlade et be-
stemt land eller en bestemt region.
Datas fysiske placering er ikke beskrevet i aftalen, eller der er ikke en gældende
databehandleraftale.
II. Nej
III. Databehandler-
aftalen er under
udarbejdelse
2.b) Databehandler-
aftalens dato
2.c) Er der taget stil-
ling til datas fysiske
opbevaring?
I. [dato]
I. Ja
II. Nej
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0056.png
Metodisk tilgang |
49
Spørgsmål
2.d) Hvor skal data
fysisk opbevares?
2.e) Hvor var data
fysisk opbevaret kl.
12�½00 den 1. august
2019?
2.f) Har personer fra
sikre/usikre tredje-
lande eller internatio-
nale organisationer
haft adgang til at be-
handle data (herunder
"se-adgang") inden for
det seneste år (1. au-
gust 2018 - 31. juli
2019)?
Udfaldsrum
I. [geografisk lokalitet]
I. [geografisk lokalitet]
II. Kan ikke dokumen-
teres
Én eller flere af følgen-
de valgmuligheder:
I. Personer fra usikre
tredjelande
Kriterier
Land/område, hvor data ifølge aftalen skal opbevares, eller land/område, som
data ikke må forlade, fx EU/EØS.
Land/område, hvor data fysisk blev opbevaret den 1. august 2019 kl. 12�½00.
Kræver et svar fra databehandleren, fx i form af en mail. Kræver ikke log e.l.
Databehandleren har ikke kunnet oplyse, hvor data blev fysisk opbevaret den 1.
august 2019 kl. 12�½00.
Databehandleren oplyser, at personer fra usikre tredjelande har haft adgang til
persondata. Dette gælder også for cloud-systemer, hvor der
kan
have været
adgang til persondata fra usikre tredjelande, men hvor det ikke kan afgøres, om
der i praksis har været adgang.
Databehandleren oplyser, at personer fra sikre tredjelande har haft adgang til
persondata. Dette gælder også for cloud-systemer, hvor der
kan
have været
adgang til persondata fra sikre tredjelande, men hvor det ikke kan afgøres, om
der i praksis har været adgang.
Databehandleren oplyser, at personer fra internationale organisationer har haft
adgang til persondata. Dette gælder også for cloud-systemer, hvor der
kan
have
været adgang til persondata fra internationale organisationer, men hvor det ikke
kan afgøres, om der i praksis har været adgang.
Databehandleren oplyser, at ingen personer fra sikre/usikre tredjelande eller
internationale organisationer har haft adgang til persondata.
II. Personer fra sikre
tredjelande
III. Personer fra inter-
nationale organisatio-
ner
IV. Ingen personer fra
sikre/usikre tredje-
lande eller internatio-
nale organisationer
V. Kan ikke dokumen-
teres
2.g) Hvis ja, hvor har
personer med adgang
været fysisk placeret?
2.h) Hvilke typer af
tilsyn kan den data-
ansvarlige føre med
databehandleren?
[geografisk lokalitet]
Databehandleren kan eller ønsker ikke at oplyse, om der har været adgang til
persondata fra sikre/usikre tredjelande eller internationale organisationer.
Land/område, hvor personer har haft adgang til persondata.
Én eller flere af følgen-
de valgmuligheder:
I. Fysisk tilsyn
II. Indhente relevante
oplysninger
III. Indhente generel
revisorerklæring
Det fremgår af databehandleraftalen, at den dataansvarlige har adgang til fysi-
ske inspektioner hos databehandleren.
Det fremgår af databehandleraftalen, at databehandleren skal stille oplysninger
til rådighed for den dataansvarlige.
Det fremgår af databehandleraftalen, at en uafhængig revisor har mulighed for
at efterse databehandlerens generelle interne styring og kontroller. Hvis ikke
det er nærmere specificeret, om der er tale om en generel eller specifik revisor-
erklæring, har vi vurderet, at der som udgangspunkt er mulighed for at indhente
begge typer revisorerklæringer.
Det fremgår af databehandleraftalen, at en uafhængig revisor har mulighed for
at efterse overholdelsen af databehandleraftalen. Hvis ikke det er nærmere spe-
cificeret, om der er tale om en generel eller specifik revisorerklæring, har vi vur-
deret, at der som udgangspunkt er mulighed for at indhente begge typer revisor-
erklæring.
Der er enten ikke nogen databehandleraftale, eller muligheden for tilsyn er ikke
specificeret i databehandleraftalen.
Gælder for systemer, hvor Statens It eller Statens Administration er databe-
handler, da Finansministeriet fører et årligt tilsyn med Statens It og Statens Ad-
ministration.
IV. Indhente specifik
revisorerklæring
V. Der er ikke mulig-
hed for at føre tilsyn
VI. Finansministeriet
fører tilsyn
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0057.png
50
| Metodisk tilgang
Spørgsmål
2.i) Er der taget stil-
ling til godkendelse
af underdatabehand-
lere?
Udfaldsrum
I. Brug af underdata-
behandlere skal spe-
cifikt godkendes
II. Der er givet generel
godkendelse til brug
af underdatabehand-
lere
Kriterier
Det fremgår af databehandleraftalen, at myndigheden skal godkende under-
databehandlere, inden databehandleren må benytte dem.
Det fremgår af databehandleraftalen, at databehandleren har myndighedens
generelle tilladelse til at benytte underdatabehandlere, og at myndigheden ikke
specifikt skal godkende underdatabehandlerne, inden databehandleren tager
dem i brug. Typisk skal myndigheden dog orienteres og vil som hovedregel have
mulighed for at gøre indsigelser over for valget af konkrete underdatabehandle-
re.
Enten findes der ikke en gældende databehandleraftale, eller brugen af under-
databehandlere er ikke specificeret i databehandleraftalen.
III. Der er ikke taget
stilling til godkendelse
af underdatabehand-
lere
2.j) Skal underdata-
behandlere over-
holde samme sikker-
hedskrav som data-
behandleren?
I. Ja
Det fremgår af databehandleraftalen, at eventuelle underdatabehandlere skal
overholde de sikkerhedskrav, som er specificeret i databehandleraftalen mel-
lem den dataansvarlige og databehandleren.
Enten findes der ikke en gældende databehandleraftale, eller det fremgår
ikke
af databehandleraftalen, at eventuelle underdatabehandlere skal overholde de
sikkerhedskrav, som er specificeret i databehandleraftalen mellem den dataan-
svarlige og databehandleren.
Det fremgår af databehandleraftalen, at brugen af eventuelle underdatabehand-
lere skal reguleres ved en skriftlig aftale mellem databehandleren og underdata-
behandlere.
Enten findes der ikke en gældende databehandleraftale, eller det fremgår
ikke
af databehandleraftalen, at brugen af eventuelle underdatabehandlere skal re-
guleres ved en skriftlig aftale mellem databehandleren og underdatabehandlere.
II. Nej
2.k) Skal der indgås
en databehandler-
aftale mellem data-
behandleren og un-
derdatabehandlere?
I. Ja
II. Nej
Tema 3: Tilsyn
3.a) Er der en plan
for, hvornår og hvor-
dan der skal føres
tilsyn med data-
behandleren?
I. Der findes en plan
for at føre tilsyn
II. Der findes en over-
ordnet tilsynsplan i
myndigheden
III. Der findes ikke en
plan for at føre tilsyn
IV. Finansministeriet
fører tilsyn
Der findes et skriftligt dokument, som beskriver, hvordan og hvor ofte der skal
føres tilsyn med det specifikke system. Det kan fx være en bestemmelse i data-
behandleraftalen eller et selvstændigt dokument.
Der findes et skriftligt dokument, som beskriver, hvordan myndigheden generelt
skal føre tilsyn med databehandlere, men det er ikke specificeret, hvordan eller
hvor ofte der skal føres tilsyn med det specifikke system.
Der findes ikke et skriftligt dokument, som enten beskriver, hvordan myndighe-
den generelt skal føre tilsyn, eller hvordan der skal føres tilsyn med det specifik-
ke system.
Gælder for systemer, hvor Statens It eller Statens Administration er databehand-
ler, da det er Finansministeriets ansvar at føre et årligt tilsyn med Statens It og
Statens Administration.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0058.png
Metodisk tilgang |
51
Spørgsmål
3.b) Er der ført tilsyn
med databehandleren
(efter databehandler-
aftalen er indgået)?
Udfaldsrum
Én eller flere af følgen-
de valgmuligheder:
I. Der er indhentet
relevante oplysninger
Kriterier
Myndigheden har indhentet relevante oplysninger fra databehandleren uafhæn-
gigt af en specifik eller generel revisorerklæring. Det kan fx være mailkorrespon-
dance med spørgsmål om databehandling, indhentning af databehandleraftaler
med underdatabehandlere og telefonnotat.
Myndigheden har ført eget fysisk tilsyn med databehandleren uafhængigt af en
specifik eller generel revisorerklæring. Det kan typisk dokumenteres ved mail-
korrespondance, internt notat, mødereferat mv.
Myndigheden har indhentet en generel revisorerklæring, som omhandler data-
behandleren. En generel revisorerklæring kigger som udgangspunkt på databe-
handlerens generelle it-sikkerhed, interne kontroller og i nogle tilfælde databe-
skyttelse. Denne type erklæring kigger som udgangspunkt ikke på det specifik-
ke system eller den behandling, der er knyttet til systemet.
Myndigheden har indhentet en specifik revisorerklæring, som omhandler det
specifikke system. En specifik revisorerklæring omfatter det specifikke system
eller den databehandling, som myndigheden har outsourcet.
Gælder for systemer, hvor Statens It eller Statens Administration er databehand-
ler, da Finansministeriet fører et årligt tilsyn med Statens It og Statens Admini-
stration.
Myndigheden har ikke ført et tilsyn eller har ikke kunnet dokumentere, at der er
ført tilsyn med databehandleren.
Dato for det senest udførte tilsyn.
Skriftlig dokumentation for, at myndigheden har taget stilling til resultaterne af
det gennemførte tilsyn. Det kan fx være et internt opfølgningsnotat, møderefe-
rat og mailkorrespondance med databehandleren.
Der er ikke skriftlig dokumentation for, at myndigheden har taget stilling til resul-
taterne af det gennemførte tilsyn.
Skriftlig dokumentation for, at myndigheden specifikt har godkendt alle under-
databehandlere, som databehandleren skriftligt oplyser, at der gøres brug af.
Det kan fx være i mailkorrespondance, mødereferater og databehandleraftalen.
Kræver, at der i databehandleraftalen er stillet krav om specifik godkendelse.
Skriftlig dokumentation for, at myndigheden specifikt har godkendt nogle, men
ikke alle, underdatabehandlere, som databehandleren skriftligt oplyser, at der
gøres brug af. Det kan fx være i mailkorrespondance, mødereferater og databe-
handleraftalen. Kræver, at der i databehandleraftalen er stillet krav om specifik
godkendelse.
Skriftlig dokumentation for, at myndigheden er blevet orienteret om alle under-
databehandlere, som databehandleren skriftligt oplyser, at der gøres brug af.
Det kan fx være i mailkorrespondance og mødereferater. Kræver, at der er givet
generel godkendelse i databehandleraftalen.
II. Der er ført eget
fysisk tilsyn
III. Der er indhentet
en generel revisor-
erklæring
IV. Der er indhentet
en specifik revisor-
erklæring
V. Finansministeriet
har ført tilsyn
VI. Der er ikke ført
tilsyn
3.c) Dato for senest
udførte tilsyn
3.d) Er der fulgt op
på tilsynet?
I. [dato]
I. Ja
II. Nej
3.e) Er underdata-
behandlere specifikt
eller generelt god-
kendt?
I. Der er givet specifik
godkendelse af alle
underdatabehandlere
II. Der er givet specifik
godkendelse af nogle
af underdatabehand-
lerne
III. Der er givet generel
godkendelse, og myn-
digheden er blevet
underrettet om brug
af alle underdatabe-
handlere
IV. Der er givet gene-
rel godkendelse, og
myndigheden er ble-
vet underrettet om
brug af nogle af un-
derdatabehandlerne
V. Der er givet generel
godkendelse, men
myndigheden er ikke
blevet underrettet om
brug af underdatabe-
handlere
Skriftlig dokumentation for, at myndigheden er blevet orienteret om nogle, men
ikke alle, underdatabehandlere, som databehandleren skriftligt oplyser, at der
gøres brug af. Det kan fx være i mailkorrespondance og mødereferater. Kræver,
at der er givet generel godkendelse i databehandleraftalen.
Der er ikke skriftlig dokumentation for, at myndigheden er blevet orienteret om
nogen af de underdatabehandlere, som databehandleren skriftligt oplyser, at
der gøres brug af.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0059.png
52
| Metodisk tilgang
Spørgsmål
Udfaldsrum
VI. Der er hverken gi-
vet specifik eller ge-
nerel godkendelse til
brug af underdatabe-
handlere
VII. Databehandleren
benytter ikke under-
databehandlere
Kriterier
Databehandleren har oplyst, at der benyttes underdatabehandlere, men der er
enten ikke en databehandleraftale, eller brugen af underdatabehandlere er ikke
reguleret i databehandleraftalen.
Skriftlig dokumentation fra databehandleren for, at databehandleren ikke be-
nytter underdatabehandlere.
Skriftlig dokumentation for, at der er ført tilsyn med alle oplyste underdatabe-
handlere. Kan fx være revisorerklæringer og databehandlerens eget tilsyn.
Skriftlig dokumentation for, at der er ført tilsyn med nogle, men ikke alle, oplyste
underdatabehandlere. Kan fx være revisorerklæringer, databehandlerens eget
tilsyn eller indhentning af oplysninger.
Skriftlig dokumentation for, at tilsyn med underdatabehandlere er fravalgt ud
fra en risikobetragtning. Kan fx være mailkorrespondance og telefonnotater fra
dialog med databehandlere.
Skriftlig dokumentation for, at der er planer om at gennemføre et tilsyn med un-
derdatabehandlere, som endnu ikke er udført.
Der er ikke skriftlig dokumentation for, at der er udført eller planlagt tilsyn med
nogen underdatabehandlere.
Skriftlig dokumentation fra databehandleren for, at databehandleren ikke be-
nytter underdatabehandlere.
3.f) Er der ført tilsyn
med underdata-
behandlere?
I. Der er ført tilsyn
med alle underdata-
behandlere
II. Der er ført tilsyn
med nogle af under-
databehandlerne
III. Tilsyn med under-
databehandlere er ud
fra en risikobetragt-
ning fravalgt
IV. Der er planlagt til-
syn, som endnu ikke
er udført
V. Der er ikke ført til-
syn med underdata-
behandlere
VI. Databehandleren
benytter ikke under-
databehandlere
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0060.png
Metodisk tilgang |
53
Vi har undersøgt i alt 148 it-systemer. De undersøgt systemer og den dataansvarlige
myndighed fremgår af tabel B.
Tabel B
Oversigt over de 148 it-systemer i undersøgelsen
Ministerium/region og dataansvarlig myndighed
Beskæftigelsesministeriet:
Arbejdstilsynet
ATIS
Blanketmotor
Damvad analysesystem
Systemnavn
Departementet
Styrelsen for Arbejdsmarked og Rekruttering
Refusionssystemet
Fleks- og barselsordninger TMO
DenDigitaleJobBro.dk
VAS
DFDG
Udvikling i fleksjob II
Manuscript
Børne- og Undervisningsministeriet:
Styrelsen for It og Læring
Trivselsmålingsværktøj
Insubiz
SPS 2005
PULS
Public360
Erhvervsministeriet:
Erhvervsstyrelsen
Kontrol OG Tilsyn (KOGT) 2019
Straffeattestkomponent
Hvidvask
Frakendelsesregisteret
Finanstilsynet
Konkurrence- og Forbrugerstyrelsen
Nævnenes Hus
Patent- og Varemærkestyrelsen
Sikkerhedsstyrelsen
Finansministeriet:
Digitaliseringsstyrelsen
Remote Backup
Digital Post
Whistleblower-system
Public 360
TSM backup
Workzone
NemID (RID og PID nummer)
Borger.dk support løsning
NemKonto inkl. Ventekonto
Digital Post (Digitaliseringsstyrelsen som offentlig afsender)
Borger.dk
Moderniseringsstyrelsen
Statens Lønsystem (SLS) inkl. Statens Pensionssystem (SP)
Tribis Integration Engine
Mercell
Statens Administration
TMO (refusion flexjob og barsel)
Lønportalen (blanketløsningen)
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0061.png
54
| Metodisk tilgang
Ministerium/region og dataansvarlig myndighed
Forsvarsministeriet:
Forsvarsministeriets Personalestyrelse
Beredskabsstyrelsen
Forsvarsakademiet
Departementet
Forsvarets Sanitetskommando
Forsvarsministeriets Materiel- og Indkøbsstyrelse
Justitsministeriet:
Departementet
Kriminalforsorgen
Systemnavn
Xform
NOVAX Session
SurveyXact
Novax A/S
Post-Let
DeMars
KESDH
Webreq
Opbevaringstjeneste Juridisk servicebureau Aps.
Whistleblowerportal
Radikaliserings Indberetnings System (RIS)
Elektronisk overvågning af klienter i fodlænke (Intensiv over-
vågning (IO) (Fodlænke))
POM
XMO
Backup
Civilstyrelsen
Rigspolitiet
JIF-Extranet
Index 1
PAS
Kriminalregisteret
Kirkeministeriet:
Departementet
SBL
IHLP
Person og Selvbetjeningsløsninger
Kandidatsystem
Kompetenceløft
Kompetencefond
Acadre
KIS (Kirkenettets Informationssystem)
F2
Klima-, Energi- og Forsyningsministeriet:
Geodatastyrelsen
Energistyrelsen
Målebladsarkiv Danmark
Selvbetjeningsportalen for solpuljerne
PANDA
Easy Energy
Tilsynsdatabasen – Frekvensregistret
Doc2Archive
De Nationale Geologiske Undersøgelser for Danmark og
Grønland
Danmarks Meteorologiske Institut
Styrelsen for Dataforsyning og Effektivisering
Outlook i Office 365
mTime
Datafordeleren
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0062.png
Metodisk tilgang |
55
Ministerium/region og dataansvarlig myndighed
Kulturministeriet:
Slots- og Kulturstyrelsen
Systemnavn
X-form (Capevo)
Digital Post
FilArkiv
SurveyXact
Det Danske Filminstitut
Rigsarkivet
Miljø- og Fødevareministeriet:
Departementet
Fiskeristyrelsen
Landbrugsstyrelsen
Fødevarestyrelsen
Journalen
Sofia-oparbejdning
Ennova A/S
Digital Post
BTAS
CAP-TAS
GLR/CHR
VETREG
VETSTAT
Naturstyrelsen, Kystdirektoratet
Region Midtjylland:
Public 360
EG Sensum Bosted
EDI
Emento (Digital forløbsguide)
InfCare
OpenTele
PPJ
Notus Suite Maintenance
IBI (Interregionalt billedindeks)
Patobank
Sårjournalen
Skatteministeriet:
Skatteforvaltningen
Tast Selv Borger – Forskud
office365 inkl. Azure
Datawarehouse
Tast Selv Borger – Årsopgørelsen
Centrale Skatteyder Register – Persondelen
Debitor og Restancesystem
A-Kasse bidrag og Faglige kontingenter
Centrale Oplysningsseddel Register
Centrale Pensions System (CPS)
Spillemyndigheden
Register Over Frivilligt Udelukkede Spillere
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0063.png
56
| Metodisk tilgang
Ministerium/region (dataansvarlig myndighed)
Social- og Indenrigsministeriet:
Departementet
Familieretshuset
Socialstyrelsen
Ankestyrelsen
CPR-administrationen
Statsministeriet:
Departementet
Systemnavn
Digitale Vælgererklæringer
Qlik Sense (Click Sense)
F2
Oracle DB
F2
MyClinic
Anker – sagssortering
Public 360
Forskerudtræk
CPR-systemet
Digital Post
F2-ESDH
FERIEBEREGNING-DB
Sundheds- og Ældreministeriet:
Lægemiddelstyrelsen
Statens Serum Institut
Styrelsen for Patientsikkerhed
Sundhedsdatastyrelsen
Sentinel (MHRA)
Elektronisk arkiv hos Larix
Computerrome
Dansk Patientsikkerhedsdatabase
SEI2
LPR3
National Service Platform
Fælles Medicinkort (FMK)
Organdonorregister
Sundhedsstyrelsen
Transport- og Boligministeriet:
Banedanmark
Bygningsstyrelsen
Havarikommissionen for Civil Luftfart og Jernbane
Trafik-, Bygge- og Boligstyrelsen
Uddannelses- og Forskningsministeriet:
Styrelsen for Institutioner og Uddannelsesstøtte
Styrket Rehabiliteringsindsats for de svageste ældre
Sharepoint Online
Whistleblower
Public 360
Targit
F2
SurveyXact
ekstranet.fi.dk
Public 360
Digital post
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0064.png
Metodisk tilgang |
57
Ministerium/region og dataansvarlig myndighed
Udlændinge- og Integrationsministeriet
Styrelsen for International Rekruttering og Integration
Systemnavn
VITAS
Gemini
Strålfors Connect
Keesing
Udlændingestyrelsen
Keesing
Kortbestillingsløsning
Digital Post
Departementet/Udlændingestyrelsen/Udlændingenævnet/
Udenrigsministeriet/Rigspolitiet
Udlændingestyrelsen/Styrelsen for International Rekruttering
og Integration
IVR-VIS
CARL2
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
58
| Metodisk tilgang
Kapitel 3: Understøttelse af myndighedernes styring af databehandlere
Væsentlige dokumenter
Vi har i forbindelse med dette kapitel gennemgået en række dokumenter, herunder:
lovgivning om databeskyttelse, herunder GDPR (databeskyttelsesforordningen)
med virkning fra den 25. maj 2018, databeskyttelsesloven med virkning fra den
25. maj 2018 og persondataloven med virkning fra 2000, som implementererede
databeskyttelsesdirektivet fra 1995 i Danmark
vejledninger og skabeloner om databeskyttelse udgivet af Finansministeriet, Ju-
stitsministeriet og Datatilsynet
strategier og tilsynsplaner om Datatilsynets tilsynsaktivitet
data om Datatilsynets tilsynsaktivitet
korrespondance mellem Finansministeriet, Datatilsynet og Justitsministeriet om
udarbejdelse af vejledninger.
Formålet med gennemgangen af dokumenterne var at belyse Finansministeriets, Da-
tatilsynets og Justitsministeriets vejledningsindsats samt Datatilsynets tilsynsindsats.
Spørgeskemaundersøgelse
Formålet med spørgeskemaundersøgelsen var at vurdere Digitaliseringsstyrelsens,
Datatilsynets og Justitsministeriets vejledningsindsats i forbindelse med implemente-
ringen af GDPR. Det er vores vurdering, at de enkelte myndigheder, som vejledninger-
ne har været målrettet, har den bedste indsigt i, om vejledningsmaterialet har været
brugbart. Vi har gennemført spørgeskemaundersøgelsen i form af et elektronisk spør-
geskema.
Spørgeskemaundersøgelsen blev pilottestet hos en enkelt myndighed inden udsen-
delse og blev efterfølgende udsendt til 79 myndigheder medio september 2019 med
en svarfrist på 2 uger. De 79 myndigheder er de myndigheder, som er dataansvarlige
for it-systemer, som fremgik af ministeriernes og Region Midtjyllands indsendte brut-
tolister over outsourcede systemer, som opbevarede følsomme eller fortrolige per-
sondata, uanset om myndighedernes systemer blev udvalgt blandt de 148 systemer i
beretningens kapitel 2.
Svarprocenten på spørgeskemaundersøgelsen er 100 %. Spørgeskemaundersøgel-
sen bestod af 9 lukkede spørgsmål foruden spørgsmål til baggrundsinformation om
myndighederne. Herudover indgik der 12 fritekstfelter. I det omfang besvarelser fra
fritekstfelter er anvendt i beretningen, er det godkendt af de pågældende responden-
ter.
De følgende figurer viser resultaterne af spørgeskemaundersøgelsen for de lukkede
spørgsmål, som afrapporteres i beretningen.
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0066.png
Metodisk tilgang |
59
Figur A
Besvarelse af Rigsrevisionens spørgeskema i forhold til, om den samlede vejledningsindsats
har understøttet myndighederne i arbejdet med at udarbejde risikovurderinger, indgå data-
behandleraftaler og føre tilsyn
I hvilken grad oplever I, at den samlede vejledning fra Justitsministeriet, Datatilsynet og Digitaliseringsstyrelsen har understøttet
jer i følgende aktiviteter:
At udarbejde risikovurderinger for de
registreredes rettigheder
6%
28 %
35 %
20 %
9%
1%
3%
At udarbejde databehandleraftaler
3%
20 %
44 %
30 %
At føre tilsyn med databehandlere
0%
8%
19 %
46 %
19 %
9%
20%
40%
60%
80%
100%
Slet ikke
I lav grad
I nogen grad
I høj grad
I meget høj grad
Ikke relevant for os
Note: n=79 myndigheder. På grund af afrundinger summerer risikovurderinger og tilsyn ikke til 100 %.
Kilde:
Rigsrevisionens spørgeskemaundersøgelse.
Figur B
Besvarelse af Rigsrevisionens spørgeskema i forhold til, om myndighederne har igangsat
initiativer, som kunne have været undgået
Har I iværksat initiativer (herunder købt privat rådgivning), som kunne være undgået, hvis vejledningsindsatsen havde været
mere konkret eller mere omfangsrig, eller hvis vejledninger var udkommet tidligere?
24 %
6%
58 %
12 %
0%
20%
40%
60%
80%
100%
Ja, adskillelige
Ja, et enkelt
Nej
Ved ikke
Note: n=79 myndigheder.
Kilde:
Rigsrevisionens spørgeskemaundersøgelse.
Standarderne for offentlig revision
Revisionen er udført i overensstemmelse med standarderne for offentlig revision.
Standarderne fastlægger, hvad brugerne og offentligheden kan forvente af revisio-
nen, for at der er tale om en god faglig ydelse. Standarderne er baseret på de grund-
læggende revisionsprincipper i rigsrevisionernes internationale standarder (ISSAI
100-999).
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0067.png
60
| Ordliste
Bilag 2. Ordliste
Ad hoc-tilsyn
Ad hoc-tilsyn er tilsyn, som iværksættes som følge af konkrete hændelser, fx medieomtale, klager
eller anmeldelser.
Almindelige personoplysninger omfatter alle oplysninger, der ikke er kategoriseret som følsomme
personoplysninger i GDPR, eller som opfattes som fortrolige oplysninger i en dansk kontekst. Se
"Følsomme og fortrolige personoplysninger". Almindelige personoplysninger kan fx være navn og
adresse eller generelle oplysninger om personlige økonomiske forhold.
Behandling af personoplysninger er et bredt begreb, som fx kan omfatte opbevaring, indsamling,
registrering, organisering, systematisering, tilpasning eller ændring, genfinding, søgning, brug, vide-
regivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller
samkøring, begrænsning, sletning eller tilintetgørelse af personoplysninger.
Cloud-services dækker bredt set over internetbaserede it-løsninger. Løsningerne kan have mange
former – fra programmer som fx Gmail og Facebook, som tilgås via internettet og ikke er installeret
på computeren, til løsninger, som kun opbevarer data. Opbevaringsløsningerne kan variere i fuld-
stændighed – fra færdige løsninger som fx Dropbox og Google Drive til mere rå serverkapacitet som
fx Microsoft Azure og Amazon Web Service.
Fælles for løsningerne er, at data og applikation ligger på internettet og ikke på den computer, som
man tilgår løsningerne fra.
Almindelige person-
oplysninger
Behandling af person-
oplysninger
Cloud-services
Dataansvarlig
Den juridiske eller fysiske person, private virksomhed, offentlige myndighed mv., der bestemmer, til
hvilket formål og hvordan personoplysningerne må behandles.
Den juridiske eller fysiske person, private virksomhed, offentlige myndighed mv., som behandler per-
sonoplysninger på vegne af den dataansvarlige. Databehandleren har adgang til at behandle data,
men bestemmer hverken formål med behandlingen, eller hvordan behandlingen sker. Databehand-
leren handler kun på baggrund af instruks fra den dataansvarlige.
Databeskyttelsesdirektivet er et tidligere EU-direktiv fra 1995 om behandlingen af personoplys-
ninger, som blev indført i dansk lov ved persondataloven i 2000. Databeskyttelsesdirektivet blev i
2018 erstattet af GDPR (databeskyttelsesforordningen).
Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) trådte i kraft samtidig med GDPR (25. maj
2018) og supplerer GDPR i en dansk kontekst.
Databeskyttelsesloven indeholder bl.a. en bestemmelse om, hvilke systemer der
skal
opbevares i
Danmark (lokationskravet), og fastsætter nærmere regler for Datatilsynets arbejde.
Databehandler
Databeskyttelsesdirektivet
Databeskyttelsesloven
Fortrolige personoplysninger
Fortrolige oplysninger er en særlig kategori af personoplysninger, der ikke nævnes direkte af GDPR,
men hvor der kan være særlige beskyttelsesbehov. Det er som udgangspunkt kontekstafhængigt,
hvornår en oplysning opfattes som fortrolig, men databeskyttelsesloven fastslår, at cpr-numre og
oplysninger om strafbare forhold (fx oplysninger om lovovertrædelser og politianmeldelse af bor-
geren) skal opfattes som fortrolige oplysninger i en dansk kontekst.
Fællesstatslige it-systemer er systemer, som én myndighed er ansvarlig for, men som benyttes af
en lang række myndigheder på tværs af staten, fx Statens Budgetsystem og statens rejseafreg-
nings- og udlægssystem (RejsUd).
Typisk er den ansvarlige myndighed, og ikke de enkelte myndigheder, dataansvarlig for data, som
behandles i systemet.
Fællesstatslige it-systemer
 REU, Alm.del - 2019-20 - Bilag 413: Statsrevisorernes beretning 15/2019 om outsourcede persondata
2196493_0068.png
Ordliste |
61
Følsomme personoplysninger
Følsomme personoplysninger defineres i GDPR’s artikel 9 som personoplysninger om race eller et-
nisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssige tilhørsfor-
hold samt behandling af genetiske data, biometriske data med det formål at identificere en fysisk
person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksu-
elle orientering. Behandling af disse personoplysninger kræver en højere grad af beskyttelse end
almindelige personoplysninger (se ”Almindelige personoplysninger).
Forkortelse for General Data Protection Regulation. Den danske oversættelse er databeskyttelses-
forordningen.
Myndighederne kan i databehandleraftalen give databehandleren en generel godkendelse til at be-
nytte underdatabehandlere. Det betyder, at databehandleren kan anvende nye underdatabehand-
lere uden en forudgående specifik godkendelse fra den dataansvarlige myndighed. Myndigheden
skal dog underrettes om nye underdatabehandlere og kan eventuelt gøre indsigelser.
En generel revisorerklæring omfatter som udgangspunkt databehandlerens generelle it-sikkerhed,
interne kontroller og i nogle tilfælde databeskyttelse. Denne type erklæring omfatter som udgangs-
punkt ikke det specifikke system eller den behandling af persondata, som finder sted i systemet.
Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger til at sikre informatio-
ner mod at gå tabt eller falde i forkerte hænder. I arbejdet indgår bl.a. organisering af sikkerhedsar-
bejdet, processer for behandling af data, styring af leverandører og tekniske sikkerhedsforanstalt-
ninger.
”Myndighederne” er i denne undersøgelse de 17 ministerier, som indgår i undersøgelsen, og Region
Midtjylland.
Outsourcing betyder, at en opgave, fx drift, vedligeholdelse og udvikling af it-tjenester, overlades til
en ekstern leverandør. Det kan enten være en privat virksomhed eller en anden offentlig myndighed.
Persondataloven er en tidligere dansk lov om behandling af personoplysninger, som implementere-
de databeskyttelsesdirektivet i dansk lov. Persondataloven var gældende fra 2000 og blev i 2018
erstattet af GDPR (databeskyttelsesforordningen) og databeskyttelsesloven.
Planlagte tilsyn er tilsyn, som iværksættes på baggrund af Datatilsynets halvårlige tilsynsplaner.
Retshåndhævelsesloven (lov nr. 410 af 27. april 2017) trådte i kraft den 27. april 2017.
Retshåndhævelsesloven gælder for retshåndhævende myndigheders (politi, anklagemyndighed,
Kriminalforsorgen, Den Uafhængige Politianklagemyndighed og domstolene) behandling af person-
oplysninger på det strafferetlige område og træder i stedet for GDPR og databeskyttelsesloven.
Mange af kravene i retshåndhævelsesloven er imidlertid sammenfaldende med reglerne i GDPR,
herunder reglerne om risikovurderinger, databehandleraftaler og tilsyn.
GDPR
Generel godkendelse af
underdatabehandlere
Generel revisorerklæring
Informationssikkerhed
Myndighederne
Outsourcing
Persondataloven
Planlagte tilsyn
Retshåndhævelsesloven
Specifik revisorerklæring
En specifik revisorerklæring omfatter det specifikke it-system eller den specifikke databehandling,
som myndigheden har outsourcet.
Myndighederne kan i databehandleraftalen indskrive et krav om en specifik godkendelse af under-
databehandlere. Det betyder, at databehandleren ikke må benytte en ny underdatabehandler, før
myndigheden specifikt har godkendt den nye underdatabehandler.
Tredjelande er lande, som ikke er medlem af EU eller EØS (Island, Lichtenstein og Norge). Som ud-
gangspunkt er alle lande uden for EU/EØS at betragte som usikre tredjelande. Europa-Kommissio-
nen har imidlertid afgjort, at beskyttelsesniveauet for en række tredjelande lever op til sikkerheds-
standarderne, der gælder inden for EU, og dermed kan betragtes som sikre tredjelande. Det gælder
fx Schweiz, New Zealand og organisationer/virksomheder i USA, som har tilsluttet sig EU-U.S. Pri-
vacy Shield.
Specifik godkendelse af
underdatabehandlere
Tredjelande