DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 87: Spm. om mediet Radars afsløringer om København Kommunes brug af AULA til at journalisere følsomme oplysninger

Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del
Offentligt

Folketinget

Udvalget for Digitalisering og It

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

28. juni 2023

Databeskyttelseskontoret

Cathrine Hjortdam

2023-0032/51-0013

2871720

Besvarelse af spørgsmål nr. 82 (Alm. del) fra Folketingets Udvalg for

Digitalisering og It

Hermed sendes besvarelse af spørgsmål nr. 82 (Alm. del), som Folketingets

Udvalg for Digitalisering og It har stillet til justitsministeren den 31. maj

2023. Spørgsmålet er stillet efter ønske fra Alexander Ryle (LA).

Peter Hummelgaard

Louise Black Mogensen

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

www.justitsministeriet.dk

[email protected]

Side 1/4

DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 87: Spm. om mediet Radars afsløringer om København Kommunes brug af AULA til at journalisere følsomme oplysninger

Spørgsmål nr. 82 (Alm. del) fra Folketingets Udvalg for Digitalisering

og It:

”Hvad er ministerens holdning til at Københavns Kommune op-

bevarer og journaliserer personfølsomme oplysninger (herunder

udredninger, handleplaner, underretninger, samtykker, beskri-

velser af trivsel mv.) om institutions- og skolebørn på kommu-

nikationsplatformen

AULA, jf. omtalen i netmediet radar.dk?”

Svar

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en

udtalelse fra Datatilsynet, der har oplyst følgende:

”Københavns

Kommunes behandling, herunder opbevaring, af

personoplysninger skal ske i overensstemmelse med databe-

skyttelsesforordningen

og databeskyttelsesloven

Det indebærer bl.a., at personoplysninger skal kunne fremfindes

med henblik på besvarelse af anmodninger om indsigt, og at de

opbevares tilstrækkeligt sikkert i overensstemmelse med

reglerne om behandlingssikkerhed.

For så vidt angår det sidstnævnte er udgangspunktet efter for-

ordningen, at behandling af personoplysninger er forbundet med

risici for fysiske personers rettigheder og frihedsrettigheder, og

den dataansvarlige skal etablere et sikkerhedsniveau, der passer

til disse risici ved hjælp af passende tekniske og organisatoriske

(sikkerheds)-foranstaltninger.

Databeskyttelsesforordningen foreskriver ikke, hvilke præcise

foranstaltninger der skal træffes. Valget ligger i første række hos

den dataansvarlige og eventuelle databehandlere. Den dataan-

svarlige er ansvarlig for og skal kunne påvise og dokumentere,

at personoplysninger behandles på en måde, der sikrer et

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyt-

telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud-

veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning

om databeskyttelse).

Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse

af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling

af sådanne oplysninger (databeskyttelsesloven).

Side 2/4

DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 87: Spm. om mediet Radars afsløringer om København Kommunes brug af AULA til at journalisere følsomme oplysninger

tilstrækkeligt sikkerhedsniveau for den behandling af personop-

lysninger, der foretages.

For at kunne gøre dette, er den dataansvarlige nødt til at vurdere

de risici, som en behandling indebærer, navnlig ved uautoriseret

eller ulovlig behandling og hændeligt tab, tilintetgørelse eller

beskadigelse,

da det kan påføre de berørte personer (de ”regi-

strerede”) skade, hvis oplysningernes

fortrolighed, tilgængelig-

hed og integritet ikke sikres.

Datatilsynet fører tilsyn med, at myndigheder, virksomheder og

andre dataansvarlige og databehandlere overholder reglerne for

databeskyttelse. Tilsynsopgaven består bl.a. i behandling af kla-

gesager, håndtering af brud på persondatasikkerheden, planlagte

tilsynsaktiviteter og sager, som Datatilsynet løbende tager op af

egen drift. Alle disse sager kan munde ud i forskellige former

for sanktioner, herunder kritik, påbud, forbud og bødeindstil-

ling.

I efteråret 2021 igangsatte Datatilsynet en række tilsyn i forhold

til 6 udvalgte kommuners efterlevelse af databeskyttelsesforord-

ningen med særligt fokus på de tekniske og organisatoriske sik-

kerhedsforanstaltninger, der er iagttaget for at leve op til kravet

om et passende sikkerhedsniveau for behandlingerne i it-syste-

met AULA.

De 6 kommuner er udvalgt med det formål at få et bredt og re-

præsentativt indblik i kommunernes efterlevelse af databeskyt-

telsesforordningen i forbindelse med behandlingen af personop-

lysninger i it-systemet AULA.

Københavns Kommune er én af de 6 udvalgte kommuner til

disse tilsyn.

Datatilsynet har den 22. maj 2023

–

på baggrund af den seneste

tids presseomtale af Københavns Kommunes opbevaring af føl-

somme børnesager med underretninger, udredninger, notater,

handleplaner og trivselsvurderinger i AULA

–

bedt Københavns

Kommune fremsende den interne tilsynsrapport, der er omtalt

heri. Datatilsynet har herefter ved e-mail af 24. maj 2023

Side 3/4

DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 87: Spm. om mediet Radars afsløringer om København Kommunes brug af AULA til at journalisere følsomme oplysninger

modtaget den pågældende tilsynsrapport og øvrigt materiale fra

kommunen, som nu indgår i tilsynets verserende tilsynssag med

Københavns Kommune.”

Det følger af reglerne i databeskyttelsesforordningen, at Datatilsynet skal

udføre sine opgaver og udøve sine beføjelser i fuld uafhængighed. Af prin-

cipielle grunde er jeg derfor tilbageholdende med at udtale mig om den kon-

krete sag.

Side 4/4