REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 915: Spm. om den nylige skandale, hvor 1,2 mio. cpr-numre er blevet lækket fra TastSelv Borger til Google og Adobe, til justitsministeren

Retsudvalget 2019-20
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

10. marts 2020

Databeskyttelseskontoret

Mikkel Reenberg

2020-0030-3755

1396703

Hermed sendes besvarelse af spørgsmål nr. 915 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 12. februar 2020. Spørgs-

målet er stillet efter ønske fra Karina Lorentzen Dehnhardt (SF).

Nick Hækkerup

Maiken Bøgelund Bek

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 915: Spm. om den nylige skandale, hvor 1,2 mio. cpr-numre er blevet lækket fra TastSelv Borger til Google og Adobe, til justitsministeren

Spørgsmål nr. 915 (Alm. del) fra Folketingets Retsudvalg:

”Med henvisning til den nylige skandale, hvor 1,2 mio. cpr-

numre er blevet lækket fra Tast-Selv Borger til Google og

Adobe, samt at der har været flere tidligere data-skandaler hvor

f.eks. 5 mio. cpr-numre fra Statens Serum Institut blev sendt til

en kinesisk visummyndighed, bedes ministeren besvare føl-

gende:

a) Vil ministeren redegøre for, hvilke foranstaltninger der fin-

des, for at sikre at danske borgeres data opbevares og behandles

sikkert af offentlige myndigheder?

b) Er ministeren enig i, at et utilstrækkeligt niveau af datasik-

kerhed medfører en væsentlig risiko for et land med et højt ni-

veau af digitalisering som Danmark?

c) Hvilke overvejelser har ministeren i forhold til yderligere di-

gitalisering af danske myndigheder, i lyset af at der kan stilles

væsentligt spørgsmål ved datasikkerheden?

d) Vil ministeren redegøre for Datatilsynets kontrol med offent-

lige myndigheders opbevaring og behandling af borgernes data?

e) Hvilke initiativer vil ministeren iværksætte, for at sikre at Da-

tatilsynet har tilstrækkelige ressourcer, og at de relevante virke-

midler er på plads, til at føre kontrol med offentlige myndighe-

ders databehandling?”

Svar:

Databeskyttelsesreglernes formål er at værne om den enkeltes ret til privat-

liv. I en tid, hvor vi digitaliserer i udpræget grad i både det offentlige og

private, er det særligt vigtigt, hvordan vi beskytter vores oplysninger.

I et moderne digitaliseret samfund vil det unægtelig være sådan, at der er

større risiko for, at vores oplysninger kommer uvedkommende til kendskab,

end hvis vi levede i et samfund, hvor computere og andet teknisk udstyr ikke

var en del af dagligdagen.

Men jeg mener ikke, at vi som samfund skal undgå at digitalisere som følge

af en generel frygt for, at vores oplysninger kommer uvedkommende i

hænde.

Derimod skal vi sikre, at digitalisering sker så det altid sikres, at håndterin-

gen af vores oplysninger foregår på en betryggende måde. Databeskyttel-

sesreglerne er med til at sikre netop dette.

Med de nye databeskyttelsesregler fra 2018 er der kommet større opmærk-

som omkring, hvordan offentlige myndigheder og private aktører håndterer

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 915: Spm. om den nylige skandale, hvor 1,2 mio. cpr-numre er blevet lækket fra TastSelv Borger til Google og Adobe, til justitsministeren

personoplysninger. Det samme gælder mulighederne for at pålægge sank-

tioner, hvor der f.eks. nu er mulighed for, at offentlige myndigheder straffes

med bøde for overtrædelse af reglerne. Det kan eksempelvis udgøre en over-

trædelse, hvis der ikke er tilstrækkelig sikkerhed omkring håndteringen af

personoplysninger. Jeg henviser til Datatilsynets bidrag nedenfor, hvor der

er redegjort nærmere for tilsynets reaktionsmuligheder.

For så vidt angår Datatilsynets ressourcer blev tilsynet med finansloven for

2018 styrket med 12,5 mio. kr. i 2018, 16,4 mio. kr. i 2019 og 16,8 mio. kr.

i 2020 og frem, dels som følge af meropgaver vedrørende databeskyttelses-

forordningen mv., dels som en generel styrkelse af Datatilsynet. Det er så-

ledes som udgangspunkt min opfattelse, at Datatilsynet har de nødvendige

ressourcer.

Justitsministeriet har til brug for besvarelsen af spørgsmålets punkt a og d

indhentet en udtalelse fra Datatilsynet. Hvad angår punkt a oplyser Datatil-

synet følgende:

”Når en offentlig myndighed behandler personoplysninger fin-

der databeskyttelsesforordningen og databeskyttelsesloven an-

vendelse, jf. forordningens artikel 2, stk. 1 og lovens § 1, stk. 2.

Enhver behandling af personoplysninger skal således ske under

iagttagelse af reglerne i databeskyttelsesforordningen, databe-

skyttelsesloven og eventuelle særregler, som ligger inden for da-

tabeskyttelsesforordningens rammer for særregler om behand-

ling af personoplysninger.

Det følger bl.a. af databeskyttelsesforordningen, at myndighe-

der, der behandler oplysninger om borgere, skal påse, at behand-

lingen af personoplysninger har en passende sikkerhed, jf. navn-

lig artikel 32. Udgangspunktet er således, at der ved behandling

af personoplysninger skal gennemføres passende tekniske og or-

ganisatoriske foranstaltninger for at sikre fysiske personers ret-

tigheder og frihedsrettigheder. Ved vurderingen af, hvad der er

passende, skal der bl.a. tages hensyn til den pågældende behand-

lings karakter og formål samt risiciene for fysiske personers ret-

tigheder og frihedsrettigheder.

En væsentlig del af vurderingen af niveauet for behandlingssik-

kerhed er personoplysningernes karakter, herunder om der er

tale om oplysninger af fortrolig eller følsom karakter.

Passende tekniske og organisatoriske foranstaltninger kan ek-

sempelvis være test af systemer og behandlinger, isolation af

brugeradgange, kryptering af personoplysninger, systemover-

vågning, logning af brugere, overordnet brugerstyring og lø-

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 915: Spm. om den nylige skandale, hvor 1,2 mio. cpr-numre er blevet lækket fra TastSelv Borger til Google og Adobe, til justitsministeren

bende uddannelse og træning af medarbejdere i databeskyttel-

sesreglerne.”

Hvad angår spørgsmålets punkt d, oplyser Datatilsynet følgende:

”Efter databeskyttelseslovens § 27, stk. 1, fører Datatilsynet til-

syn med overholdelsen af de generelle databeskyttelsesregler,

der findes i databeskyttelsesforordningen, databeskyttelseslo-

ven og anden lovgivning, som ligger inden for databeskyttelses-

forordningens rammer for særregler om behandling af perso-

noplysninger. Datatilsynet har bl.a. til opgave at behandle kla-

ger, der indgives af registrerede, ligesom tilsynet af egen drift –

bl.a. i form af ad hoc tilsyn – påser, om behandling af personop-

lysninger finder sted i overensstemmelse med navnlig databe-

skyttelsesforordningen og databeskyttelsesloven. Datatilsynet

orienterer sig i den forbindelse løbende i sager debatteret i me-

dierne mv. med henblik på at vurdere, om der bør indledes un-

dersøgelser på tilsynets eget initiativ.

Det er efter Datatilsynets opfattelse afgørende for at sikre en høj

beskyttelse af danskernes personoplysninger – og derfor også

tilsynets vision – at myndigheder kender og overholder reglerne

for behandling af personoplysninger, og at borgerne kender og

kan bruge deres rettigheder. Datatilsynet gør dette muligt og let-

tere gennem synlighed, information, dialog og kontrol. Det er

samtidig Datatilsynets mission at rådgive om registrering, vide-

regivelse og anden behandling af personoplysninger og føre til-

syn med, at myndigheder og andre dataansvarlige overholder

reglerne på området.

Af databeskyttelseslovens § 29 fremgår det, at Datatilsynet kan

kræve enhver oplysning, der er af betydning for tilsynets virk-

somhed, herunder til afgørelse af, om et forhold falder ind under

databeskyttelsesforordningens og lovens bestemmelser. Datatil-

synet har endvidere beføjelse til at få adgang til alle lokaler,

hvorfra en behandling af personoplysninger foretages. Politiet

kan i fornødent omfang bistå Datatilsynet hertil.

Hvis der sker en overtrædelse af databeskyttelsesreglerne, her-

under f.eks. reglerne om behandlingssikkerhed, har Datatilsynet

en række reaktionsmuligheder. Det følger af databeskyttelses-

forordningens artikel 58, stk. 2, at tilsynet har beføjelse til:

a) at udstede advarsler til en dataansvarlig eller en data-

behandler om, at planlagte behandlingsaktiviteter sand-

synligvis vil være i strid med denne forordning

b) at udtale kritik af en dataansvarlig eller en databe-

handler, hvis behandlingsaktiviteter har været i strid med

denne forordning

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 915: Spm. om den nylige skandale, hvor 1,2 mio. cpr-numre er blevet lækket fra TastSelv Borger til Google og Adobe, til justitsministeren

c) at give den dataansvarlige eller databehandleren på-

bud om at imødekomme den registreredes anmodninger

om at udøve sine rettigheder i henhold til denne forord-

ning

d) at give den dataansvarlige eller databehandleren på-

bud om at bringe behandlingsaktiviteter i overensstem-

melse med bestemmelserne i denne forordning og, hvis

det er hensigtsmæssigt, på en nærmere angivet måde og

inden for en nærmere angivet frist

e) at give den dataansvarlige påbud om at underrette den

registrerede om et brud på persondatasikkerheden

f) midlertidigt eller definitivt at begrænse, herunder for-

byde, behandling

g) at give påbud om berigtigelse eller sletning af perso-

noplysninger eller begrænsning af behandling i henhold

til artikel 16, 17 og 18 og meddelelse af sådanne hand-

linger

Overtrædelse af databeskyttelsesreglerne kan efter omstændig-

hederne således sanktioneres ved bl.a. at udtale kritik og/eller

meddele den dataansvarlige påbud eller forbud i forhold til en

given handling eller undladelse. Efter omstændighederne kan

det også komme på tale at sanktionere overtrædelsen med en

bøde. De forskellige sanktioner kan enten anvendes alene eller

kombineres afhængigt af de konkrete omstændigheder.

Ifølge databeskyttelseslovens § 41, stk. 6, 2. pkt., kan offentlige

myndigheder og institutioner – uanset straffelovens § 27, stk. 2,

– straffes for overtrædelse af databeskyttelsesforordningen og -

loven i fuldt omfang. Det betyder, at offentlige myndigheder

også kan straffes, selv om der ikke er tale om virksomhed, som

kan sidestilles med virksomhed udøvet af private.

Justitsministeriet har i de almindelige bemærkninger til lovfor-

slaget til databeskyttelsesloven forudsat, at bødelofterne for alle

offentlige myndigheder, er lavere end dem, der fremgår af for-

ordningens artikel 83, stk. 4-6. Bødelofterne er herefter:



For overtrædelser omfattet af forordningens artikel 83,

stk. 4: 2 % af myndighedens driftsbevilling, dog maksi-

malt 8.000.000 kroner



For overtrædelser omfattet af forordningens artikel 83,

stk. 5 og 6: 4 % af myndighedens driftsbevilling, dog mak-

simalt 16.000.000 kroner

Det fremgår endvidere af bemærkningerne, at der ved pålæg-

gelse af bøder til offentlige myndigheder skal tages hensyn til,

at de – i modsætning til private aktører – efter lovgivningen er

pålagt at varetage lovbestemte opgaver, og at myndigheder der-

for heller ikke uden videre i alle tilfælde blot kan standse en be-

handling for derved at bringe en eventuel ulovlig tilstand til op-

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 915: Spm. om den nylige skandale, hvor 1,2 mio. cpr-numre er blevet lækket fra TastSelv Borger til Google og Adobe, til justitsministeren

hør. Der skal endvidere lægges vægt på myndighedernes ram-

mevilkår, som for nogle kan betyde, at de har en bevilling, der

er bundet tæt op på deres lovbundne opgave.

Datatilsynet kan oplyse, at tilsynet i 2019 har afsluttet mere end

6.500 sager, herunder forespørgsler, klager, tilsyn og sikker-

hedsbrud, vedrørende offentlige myndigheders behandling af

personoplysninger.”