S 479 - 2024-25 - Endeligt svar på S 479: Hvad mener ministeren om den meget omtalte masselækage af persondata fra Alles Lægehus, og hvad agter ministeren konkret at foretage sig for at forhindre de mange persondatalækager, der jævnligt afsløres, og agter ministeren for eksempel herunder at styrke Datatilsynet?

Udvalget for Digitalisering og It 2024-25
S 479
Offentligt

Folketingets Lovsekretariat

Stormgade 2-6

1470 København K

Telefon 72 28 24 00

[email protected]

Sagsnr.

2025 - 108

Doknr.

117148

Dato

21-01-2025

Svar på spørgsmål stillet af Morten Messerschmidt (DF) den 10. januar 2024.

Spørgsmål nr. S 479:

”Hvad

mener ministeren om den meget omtalte masselækage af persondata fra Alles Læge-

hus, og hvad agter ministeren konkret at foretage sig for at forhindre de mange persondata-

lækager, der jævnligt afsløres, og agter ministeren for eksempel herunder at styrke Datatilsy-

net?”

Svar:

Jeg har ikke kendskab til de nærmere omstændigheder i den konkrete sag. Brud på personda-

tasikkerheden, eksempelvis vedrørende borgeres sundhedsoplysninger, er alvorligt. Det gæl-

der naturligvis særligt for de berørte borgere. Jeg forventer, at alle overholder de gældende

databeskyttelsesretlige regler, og at der generelt sikres forsvarlige foranstaltninger til beskyt-

telse af borgeres personoplysninger.

Jeg har til besvarelsen indhentet et bidrag fra Ministeriet for Samfundssikkerhed og Bered-

skab, som oplyser:

”Regeringen

arbejder for at styrke cyber- og informationssikkerhed hos myndigheder, virk-

somheder og borgere.

I Aftale om beredskabsområdet 2025-2026 fra 15. januar 2025 er der endvidere aftalt føl-

gende: ”Den centrale opgave med at

styrke cybersikkerheden mod digitale angreb rettet mod

borgere, virksomheder og myndigheder løftes. Det skal ske gennem en løbende og aktuel råd-

givning om digital sikkerhed og specifikt til borgere udsat for digital svindel via Sikkerdigital.dk

og Cyberhotline.”

Ministeren for samfundssikkerhed og beredskab forventer desuden snarest at fremsætte et

lovforslag om implementering af EU’s direktiv om foranstaltninger til sikring af et højt fælles

cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet) med henblik på ikrafttrædelse 1. juli

2025. Lovforslaget indeholder krav til, at de omfattede enheder skal gennemføre passende

cybersikkerhedsforanstaltninger set i forhold til enhedens væsentlighed.”

Spørgsmål vedrørende databeskyttelse og Datatilsynet henhører under Justitsministeriets res-

sort. Jeg har indhentet et bidrag fra Justitsministeriet, som oplyser:

”Den dataansvarlige –

f.eks. et lægehus

–

skal efter databeskyttelsesforordningens artikel 32

sikre, at der er gennemført passende tekniske og organisatoriske foranstaltninger for at sikre

et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger medfører

for borgeren.

S 479 - 2024-25 - Endeligt svar på S 479: Hvad mener ministeren om den meget omtalte masselækage af persondata fra Alles Lægehus, og hvad agter ministeren konkret at foretage sig for at forhindre de mange persondatalækager, der jævnligt afsløres, og agter ministeren for eksempel herunder at styrke Datatilsynet?

Hvis der hos en dataansvarlig sker et brud på persondatasikkerheden, der f.eks. fører til uau-

toriseret videregivelse af eller adgang til personoplysninger, indtræder der som udgangspunkt

en forpligtelse for den dataansvarlige til at anmelde bruddet til Datatilsynet. Det følger af da-

tabeskyttelsesforordningens artikel 33.

Datatilsynet screener alle anmeldte brud på persondatasikkerheden med henblik på at vur-

dere, om der er grundlag for at foretage sig yderligere i anledning af anmeldelsen. Datatilsy-

net foretager f.eks. en vurdering af hændelsens karakter og omfang, typerne af de omfattede

personoplysninger, de foranstaltninger, der er blevet sat i værk

–

både før og efter hændelsen

–

samt om de berørte personer er blevet underrettet eller bør underrettes om bruddet på

persondatasikkerheden.

Hvis en dataansvarlig

–

eller en databehandler

–

ikke lever op til reglerne om passende be-

handlingssikkerhed eller reglerne om anmeldelse af brud på persondatasikkerheden, kan Da-

tatilsynet f.eks. udtale kritik eller udstede et påbud om at bringe forholdet i orden. Afhængigt

af omstændighederne i hver enkelt sag kan der imidlertid også blive tale om at sanktionere

den manglende efterlevelse af reglerne med bøde

–

enten i kombination med eller i stedet for

en af Datatilsynets korrigerende beføjelser.

Herudover vejleder Datatilsynet i betydeligt omfang om sikkerhedsforanstaltninger, som virk-

somheder

og myndigheder kan overveje for at sikre den tilstrækkelige behandlingssikkerhed.”

Med venlig hilsen

Caroline Stage