Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del
Offentligt
2729788_0001.png
Folketinget
Udvalget for Digitalisering og It
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
28. juni 2023
Databeskyttelseskontoret
Cathrine Hjortdam
2023-0032/51-0013
2871720
Besvarelse af spørgsmål nr. 82 (Alm. del) fra Folketingets Udvalg for
Digitalisering og It
Hermed sendes besvarelse af spørgsmål nr. 82 (Alm. del), som Folketingets
Udvalg for Digitalisering og It har stillet til justitsministeren den 31. maj
2023. Spørgsmålet er stillet efter ønske fra Alexander Ryle (LA).
Peter Hummelgaard
/
Louise Black Mogensen
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
www.justitsministeriet.dk
[email protected]
Side 1/4
DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 82: Spm. om Københavns Kommune opbevarer og journaliserer personfølsomme oplysninger om institutions- og skolebørn på kommunikationsplatformen AULA
2729788_0002.png
Spørgsmål nr. 82 (Alm. del) fra Folketingets Udvalg for Digitalisering
og It:
”Hvad er ministerens holdning til at Københavns Kommune op-
bevarer og journaliserer personfølsomme oplysninger (herunder
udredninger, handleplaner, underretninger, samtykker, beskri-
velser af trivsel mv.) om institutions- og skolebørn på kommu-
nikationsplatformen
AULA, jf. omtalen i netmediet radar.dk?”
Svar
:
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en
udtalelse fra Datatilsynet, der har oplyst følgende:
”Københavns
Kommunes behandling, herunder opbevaring, af
personoplysninger skal ske i overensstemmelse med databe-
skyttelsesforordningen
1
og databeskyttelsesloven
2
.
Det indebærer bl.a., at personoplysninger skal kunne fremfindes
med henblik på besvarelse af anmodninger om indsigt, og at de
opbevares tilstrækkeligt sikkert i overensstemmelse med
reglerne om behandlingssikkerhed.
For så vidt angår det sidstnævnte er udgangspunktet efter for-
ordningen, at behandling af personoplysninger er forbundet med
risici for fysiske personers rettigheder og frihedsrettigheder, og
den dataansvarlige skal etablere et sikkerhedsniveau, der passer
til disse risici ved hjælp af passende tekniske og organisatoriske
(sikkerheds)-foranstaltninger.
Databeskyttelsesforordningen foreskriver ikke, hvilke præcise
foranstaltninger der skal træffes. Valget ligger i første række hos
den dataansvarlige og eventuelle databehandlere. Den dataan-
svarlige er ansvarlig for og skal kunne påvise og dokumentere,
at personoplysninger behandles på en måde, der sikrer et
1
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyt-
telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning
om databeskyttelse).
2
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger (databeskyttelsesloven).
Side 2/4
DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 82: Spm. om Københavns Kommune opbevarer og journaliserer personfølsomme oplysninger om institutions- og skolebørn på kommunikationsplatformen AULA
tilstrækkeligt sikkerhedsniveau for den behandling af personop-
lysninger, der foretages.
For at kunne gøre dette, er den dataansvarlige nødt til at vurdere
de risici, som en behandling indebærer, navnlig ved uautoriseret
eller ulovlig behandling og hændeligt tab, tilintetgørelse eller
beskadigelse,
da det kan påføre de berørte personer (de ”regi-
strerede”) skade, hvis oplysningernes
fortrolighed, tilgængelig-
hed og integritet ikke sikres.
Datatilsynet fører tilsyn med, at myndigheder, virksomheder og
andre dataansvarlige og databehandlere overholder reglerne for
databeskyttelse. Tilsynsopgaven består bl.a. i behandling af kla-
gesager, håndtering af brud på persondatasikkerheden, planlagte
tilsynsaktiviteter og sager, som Datatilsynet løbende tager op af
egen drift. Alle disse sager kan munde ud i forskellige former
for sanktioner, herunder kritik, påbud, forbud og bødeindstil-
ling.
I efteråret 2021 igangsatte Datatilsynet en række tilsyn i forhold
til 6 udvalgte kommuners efterlevelse af databeskyttelsesforord-
ningen med særligt fokus på de tekniske og organisatoriske sik-
kerhedsforanstaltninger, der er iagttaget for at leve op til kravet
om et passende sikkerhedsniveau for behandlingerne i it-syste-
met AULA.
De 6 kommuner er udvalgt med det formål at få et bredt og re-
præsentativt indblik i kommunernes efterlevelse af databeskyt-
telsesforordningen i forbindelse med behandlingen af personop-
lysninger i it-systemet AULA.
Københavns Kommune er én af de 6 udvalgte kommuner til
disse tilsyn.
Datatilsynet har den 22. maj 2023
på baggrund af den seneste
tids presseomtale af Københavns Kommunes opbevaring af føl-
somme børnesager med underretninger, udredninger, notater,
handleplaner og trivselsvurderinger i AULA
bedt Københavns
Kommune fremsende den interne tilsynsrapport, der er omtalt
heri. Datatilsynet har herefter ved e-mail af 24. maj 2023
Side 3/4
DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 82: Spm. om Københavns Kommune opbevarer og journaliserer personfølsomme oplysninger om institutions- og skolebørn på kommunikationsplatformen AULA
modtaget den pågældende tilsynsrapport og øvrigt materiale fra
kommunen, som nu indgår i tilsynets verserende tilsynssag med
Københavns Kommune.”
Det følger af reglerne i databeskyttelsesforordningen, at Datatilsynet skal
udføre sine opgaver og udøve sine beføjelser i fuld uafhængighed. Af prin-
cipielle grunde er jeg derfor tilbageholdende med at udtale mig om den kon-
krete sag.
Side 4/4