DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 123: Spm. om, hvor mange borgere, der uberettiget har fået tilgået deres personlige data de seneste 10 år m.v.

Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del
Offentligt

Retsudvalget 2022-23 (2. samling)

Offentligt

Folketinget

Lovsekretariatet

Christiansborg

1240 København K

DK Danmark

Dato:

30. juni 2023

Kontor:

Databeskyttelseskontoret

Sagsbeh: Luna Amelia Pedersen

Eggert

Sagsnr.: 2023-0033-0529

Dok.:

2899344

Besvarelse af spørgsmål nr. S 714 fra medlem af Folketinget Peder

Hvelplund (EL):

Hermed sendes besvarelse af spørgsmål nr. S 714, som medlem af Folketin-

get Peder Hvelplund (EL) har stillet til justitsministeren den 23. juni 2023.

Peter Hummelgaard

Louise Black Mogensen

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

www.justitsministeriet.dk

[email protected]

Side 1/2

DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 123: Spm. om, hvor mange borgere, der uberettiget har fået tilgået deres personlige data de seneste 10 år m.v.

Spørgsmål nr. S 714 fra medlem af Folketinget Peder Hvelplund (EL):

”Vil

ministeren på baggrund af den store forskel, der er på kom-

munernes håndtering af sikkerheden i forbindelse med kontrol

af håndtering af personfølsomme oplysninger, som beskrives i

artiklen på version2.dk: »Titusindvis kan snage i din hemmelige

adresse: Klart lovbrud«, tage initiativ til sammen med KL at ud-

arbejde et fælles kodeks for f.eks. brug af stikprøvekontrol, så

der bliver en mere ensartet tilgang til og større fokus på at be-

skytte borgernes personfølsomme oplysninger?”

Begrundelse:

”Der

henvises til artiklen på version2.dk den 21. juni 2023: »Ti-

tusindvis kan snage i din hemmelige adresse: Klart lovbrud«.”

Svar

Databeskyttelsesforordningen hviler generelt på en risikobaseret tilgang til

behandlingssikkerhed, der indebærer, at den dataansvarlige skal sikre, at der

tilvejebringes et tilstrækkeligt sikkerhedsniveau for behandling af oplysnin-

ger ud fra en samlet risikovurdering. Det følger bl.a. af forordningens artikel

32, at når der behandles personoplysninger, skal den dataansvarlige gen-

nemføre passende tekniske og organisatoriske foranstaltninger for at sikre

et sikkerhedsniveau, der passer til risiciene ved behandlingen.

Det er således i første række op til den dataansvarlige at vurdere, hvilke

foranstaltninger eller tekniske løsninger, der på tilstrækkelig vis kan sikre

borgeres personoplysninger mod uautoriseret adgang. Hvis KL ønsker at

drøfte spørgsmålet mere generelt, er jeg naturligvis åben over for det, men

jeg kan i øvrigt henvise til, at det er Datatilsynet, der er en uafhængig til-

synsmyndighed, som fører tilsyn med, at de databeskyttelsesretlige regler

bliver overholdt.

Side 2/2