DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 125: Spm. om, hvad ministeren konkret agter at gøre for at sikre, at borgernes data er beskyttet mod snageri fra offentligt ansatte m.v.

Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del
Offentligt

Folketinget

Udvalget for Digitalisering og It

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

6. oktober 2023

Databeskyttelseskontoret

Katrine Hjortnæs

2023-05567

2972836

Besvarelse af spørgsmål nr. 123 (Alm. del) fra Folketingets Udvalg for

Digitalisering og It

Hermed sendes besvarelse af spørgsmål nr. 123 (Alm. del), som

Folketingets Udvalg for Digitalisering og It har stillet til justitsministeren

den 8. september 2023. Spørgsmålet er stillet efter ønske fra Pia Kjærsgaard

(DF).

Peter Hummelgaard

Louise Black Mogensen

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

www.justitsministeriet.dk

[email protected]

Side 1/6

DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 125: Spm. om, hvad ministeren konkret agter at gøre for at sikre, at borgernes data er beskyttet mod snageri fra offentligt ansatte m.v.

Spørgsmål nr. 123 (Alm. del) fra Folketingets Udvalg for Digitalisering

og It:

”Vil ministeren oplyse, hvor mange borgere, der uberettiget har

fået tilgået deres personlige data de seneste 10 år? Der henvises

til artiklen ”Snagesager truer tilliden til det offentlige: »Jeg ved

ikke engang, hvorfor de har slået mig op«” på version2.dk den

1. september 2023. Snagesager truer tilliden til det offentlige:

»Jeg ved ikke engang, hvorfor de har slået mig op« | Version2”

Svar

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en

udtalelse fra Datatilsynet, der har oplyst følgende:

”Datatilsynet

kan

oplyse,

der

med

databeskyttelsesforordningen (GDPR) – som har fundet

anvendelse siden den 25. maj 2018 – blev indført en ny

forpligtelse for de dataansvarlige (dvs. typisk myndigheder og

virksomheder) til at anmelde brud på persondatasikkerheden til

Datatilsynet. Anmeldelsespligten omfatter bl.a. hændelser, hvor

der er sket uberettiget opslag på personer i systemer og registre

mv. Der skal dog ikke ske anmeldelse til Datatilsynet, hvis det

er usandsynligt, at bruddet på persondatasikkerheden indebærer

en risiko for fysiske personers rettigheder og frihedsrettigheder

(dvs. typisk de personer, hvis oplysninger er tilgået).

Datatilsynet modtager også klager fra enkeltpersoner, som

mener, at der uberettiget er foretaget opslag på deres

personoplysninger. Disse sager er efter tilsynets opfattelse ikke

egnet til at bidrage til at give et retvisende billede af antallet af

personer, der uberettiget har fået tilgået deres personlige data de

seneste 10 år. Det skyldes bl.a., at en klage fra en borger ikke –

som brudanmeldelserne – har været undergivet en vurdering af

den myndighed eller organisation, som har ansvaret for

registrene, herunder en vurdering af, om der er sket et brud på

persondatasikkerheden. Det skyldes også, at borgere i visse

tilfælde klager over registeropslag til andre instanser end

Datatilsynet, f.eks. til myndigheder under Sundhedsministeriet,

eller anmelder det direkte til politiet. De klager, som

Side 2/6

Datatilsynet modtager, er af disse årsager ikke egnede til at

estimere antallet af uberettigede registeropslag.

For at bidrage til at give en indikation af antallet af personer, der

uberettiget har fået tilgået deres personlige data inden for de

seneste år, har Datatilsynet søgt i hovedparten af de anmeldelser

om brud på persondatasikkerheden, som tilsynet har modtaget.

Hovedparten udgør ca. 90 % af de anmeldelser, som

Datatilsynet har modtaget, og er lig med de anmeldelser – i form

af udfyldte anmeldelsesblanketter i struktureret format – der er

modtaget via den fælles digitale løsning for anmeldelser af

sikkerhedshændelser på virk.dk. Det omfatter derimod ikke de

anmeldelser, der er modtaget på anden vis, f.eks. via en e-mail,

og hvor anmeldelsen er indeholdt i et almindeligt brev eller

fremgår direkte af e-mailen (data i ustruktureret format).

Oplysningerne fra anmeldelsesblanketterne lagres i en database

i en struktureret form, der gør dem effektivt søgbare. Det sker

automatisk via et til formålet udviklet it-værktøj, som blev

indført i december 2018. Søgningen omfatter derfor anmeldelser

tilbage til december 2018, og altså ikke helt tilbage til maj 2018,

hvor GDPR og dermed anmeldelsespligten blev indført. Der er

først elektronisk søgt efter de brud, der vurderes at kunne angå

uberettigede opslag i registre mv., og herefter i de angivne

oplysninger om antal berørte personer. Det præciseres, at der

alene er tale om en gengivelse af de oplysninger, der er modtaget

fra de dataansvarlige, og at tilsynet ikke har foretaget en

nærmere kvalificering af oplysningerne, herunder om der rent

faktisk har været tale om uberettigede opslag.

Datatilsynet kan på den baggrund oplyse, at tilsynet siden

december 2018 ses at have modtaget omkring 300 anmeldelser,

der vurderes at angå uberettigede opslag på personoplysninger,

og at de samlet set angår ca. 4.000 berørte personer.

Datatilsynet understreger dog, at tallene er forbundet med en vis

usikkerhed, og at en mere præcis angivelse vil forudsætte en

ressourcekrævende manuel gennemgang af et større antal sager.

Endvidere bemærker Datatilsynet, at tallene ikke findes at være

udtryk for det samlede antal personer, der uberettiget har fået

Side 3/6

tilgået deres personlige data siden december 2018. Der kan

således dels være uberettigede opslag, som ikke er opdaget af de

dataansvarlige, og dels hændelser med uberettigede opslag, som

ikke er anmeldt til Datatilsynet som et brud på

persondatasikkerheden.

Hvis en ansat uberettiget slår op på personer i systemer og

registre mv., vil der efter omstændighederne kunne være tale

om, at den ansatte selvstændigt overtræder de

databeskyttelsesretlige regler, herunder de regler, som følger

direkte

databeskyttelsesforordningen,

databeskyttelsesretlige regler, som er fastsat i andre regelsæt,

f.eks. i sundhedslovgivningen eller i straffeloven. Uberettigede

opslag i systemer og registre mv. vil kunne føre til bødestraf

over for den pågældende ansatte.

Datatilsynet er endvidere bekendt med, at der i visse sager om

uberettigede registeropslag er truffet afgørelse om

ansættelsesretlige konsekvenser for de pågældende ansatte,

f.eks. i form af advarsel eller afskedigelse.

I en række tilfælde anmelder arbejdsgiveren de ansatte til

politiet, ligesom de registrerede personer selv i en række tilfælde

indgiver politianmeldelse mod de ansatte. Politianmeldelse fra

arbejdsgiveren eller de berørte personer sker erfaringsmæssigt

ofte, før Datatilsynet selv har haft lejlighed til at tage stilling til

sagen. Idømmelse af bøder efter forordningen skal indtil videre

ske ved domstolene på baggrund af en tiltale fra

anklagemyndigheden.

Mange af databeskyttelsesforordningens regler er strafbelagt, og

det er en grundlæggende forudsætning i forordningen, at bøder

for overtrædelse af reglerne bl.a. har en afskrækkende virkning.

Som led i politiets og anklagemyndighedens behandling af

anmeldelser om overtrædelser af databeskyttelsesreglerne

sendes der ofte anmodninger til Datatilsynet om en udtalelse i

sagerne, ligesom der i øvrigt sker en vis koordinering mellem

politi/anklagemyndighed og Datatilsynet om straffesager med

databeskyttelsesretlige elementer.

Side 4/6

Datatilsynet har i sin offentligt tilgængelige vejledning om

udmåling af bøder til fysiske personer fra marts 2023 f.eks.

fastsat en række vejledende bødesatser specifikt for de såkaldte

registermisbrugssager, og i en række sager er der således også

udmålt bøder til personer, der uberettiget har slået op på

personoplysninger i systemer og registre mv.

Datatilsynet har imidlertid ikke et samlet overblik over, hvilke

konsekvenser der har været for de ansatte, der uberettiget har

tilgået andre menneskers personlige data gennem de sidste 10

år. Datatilsynet modtager således ikke systematisk oplysning

om, og i givet fald hvilke ansættelsesretlige konsekvenser

arbejdsgiveren har truffet beslutning om over for de ansatte,

eller om udfaldet af de sager, hvor der er indgivet

politianmeldelse.”

Man skal som borger kunne stole på, at de oplysninger, som myndighederne

har adgang til, forvaltes på en ordentlig måde og kun tilgås af de ansatte i

det omfang, det er nødvendigt for det arbejde, som den pågældende

medarbejder har til opgave at udføre. Derfor er det også meget alvorligt, når

offentligt ansatte uberettiget tilgår information om borgerne. Det er med til

at undergrave tilliden til myndighederne og til det digitaliserede samfund.

Ansvaret for at passe på borgernes oplysninger ligger i første række hos de

dataansvarlige myndigheder og hos den enkelte medarbejder.

Myndighederne skal sikre passende rammer for medarbejdernes behandling

af personoplysninger, og jeg har i den forbindelse noteret mig, at

Datatilsynet har udarbejdet en ny vejledende tekst: ”Kan snageri

forebygges? Og hvordan?”, som er tilgængelig på tilsynets hjemmeside. Der

kan i den forbindelse henvises til Datatilsynets vejledning om udmåling af

bøder til fysiske personer fra marts 2023 for en nærmere gennemgang af de

bødeniveauer, som Datatilsynet henholder sig til i sager om uberettigede

registeropslag. Vejledningen er tilgængelig på tilsynets hjemmeside.

Hvis en myndighed opdager, at en medarbejder uretmæssigt har tilgået

personoplysninger, skal myndigheden iagttage sine forpligtelser, herunder

efter omstændighederne anmelde bruddet på datasikkerheden til

Datatilsynet og sende et underretningsbrev til implicerede borgere. Jeg har

stor forståelse for, at det er ubehageligt at modtage et sådant

Side 5/6

underretningsbrev, men jeg finder det samtidig betryggende, at reglerne

understøtter gennemsigtighed og oplysning.

Jeg kan i øvrigt henvise til min tidligere besvarelse af 30. juni 2023 af

spørgsmål nr. S 714.

Side 6/6