Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder

12-11-2014

Beretning nr. 1/2014

Beretningen handler om, hvordan en række statslige institutioner beskytter fortrolige oplysninger om personer og virksomheder. Det kan fx være oplysninger om en persons helbred, skatteforhold eller strafbare forhold. Den øgede digitalisering stiller øgede krav til sikkerheden omkring disse oplysninger, da det kan have vidtrækkende konsekvenser for de personer og virksomheder, det går ud over, hvis oplysninger falder i de forkerte hænder. Formålet med undersøgelsen er derfor at vurdere, om institutionerne beskytter fortrolige oplysninger om personer og virksomheder tilstrækkeligt. 

Undersøgelsen er baseret på it-revisioner udført som led i årsrevisionen i foråret 2014. Rigsrevisionen har selv taget initiativ til undersøgelsen.

Statsrevisorernes bemærkning til beretningen

Den 12. november 2014 behandlede Statsrevisorerne

Beretning nr. 1/2014 om statens behandling af fortrolige oplysninger om personer og virksomheder

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Digitalisering er en vigtig måde at forny og effektivisere den offentlige sektor på. Den øgede digitalisering af kommunikationen mellem borgere, private virksomheder og offentlige myndigheder forudsætter, at store mængder af data af fortrolig karakter beskyttes, så oplysningerne ikke falder i de forkerte hænder. Data beskyttes ved at kontrollere brugeradgange, registrere medarbejderes opslag, tjekke om interne retningslinjer og aftaler med eksterne databehandlere overholdes mv.

Rigsrevisionen har undersøgt, hvordan fortrolige oplysninger om personer og virksomheder behandles i 11 udvalgte it-systemer i 8 statslige institutioner: Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettig­heder, Rigspolitiet, SKAT, Socialstyrelsen og Sundhedsstyrelsen, hvoraf flere er vant til at håndtere store mængder fortrolige oplysninger.

Undersøgelsen viser, at ingen af de undersøgte institutioner efterlever alle de krav til behandling af fortrolige personoplysninger, som er fastsat i sikkerhedsbekendtgørelsen, der er udstedt i medfør af persondataloven.

Det bemærkes, at den manglende efterlevelse af sikkerhedsbekendtgørelsens krav kan gøre sig gældende for en større kreds af statslige institutioner.

Undersøgelsen viser endvidere, at sikkerheden ved behandling af fortrolige data fra private virksomheder bør styrkes – også selv om der ikke er fastsat særlig lovgivning for beskyttelse af fortrolige virksomhedsoplysninger.

Statsrevisorerne kritiserer skarpt, at en række statslige institutioner ikke i tilstrækkeligt omfang beskytter fortrolige oplysninger om personer og virksomheder. Det medfører risiko for, at personer kan få krænket deres privatliv, og at virksomheder kan miste konkurrencefordele, fordi personer, private virksomheder og offentlige myndigheder kan få adgang til fortrolige oplysninger, som de ikke er berettigede til.

Statsrevisorerne finder det særdeles relevant, at flere af institutionerne meget hurtigt har iværksat tiltag, der skal imødegå kritikpunkterne i undersøgelsen.

Statsrevisorerne bemærker særligt, at Rigsrevisionen allerede i 2011 gjorde Danmarks Statistik opmærksom på manglende opfyldelse af sikkerhedsbekendtgørelsens krav. Statsrevisorerne finder det utilfredsstillende, at Danmarks Statistik endnu ikke opfylder kravene.

Datatilsynet har bl.a. til opgave at føre tilsyn med, at statslige institutioner håndterer fortrolige personoplysninger i overensstemmelse med persondataloven og tilhøren­de regler. Statsrevisorerne har noteret sig, at Datatilsynet ikke har ført tilsyn med de 8 undersøgte it-systemer i de seneste 3 år.

Statsrevisorerne er opmærksomme på, at uklar ansvarsplacering mellem flere myndigheder kan svække tilsyn og datasikkerhed."

Rigsrevisionens notat af 17. februar 2015

Rigsrevisionen følger i dette notat op på beretning nr. 1/2014 om statens behandling af fortrolige oplysninger om personer og virksomheder.  

Notatet følger op på de initiativer, som de 8 undersøgte institutioner har iværksat og vil iværksætte for at beskytte fortrolige oplysninger om personer og virksomheder.  

Rigsrevisionen finder initiativerne tilfredsstillende og vurderer, at sagen kan afsluttes. Rigsrevisionen vil i forbindelse med it-revisionen fortsat følge, at initiativerne bliver implementeret og fungerer i praksis.

Hele notatet (PDF)

Statsrevisorernes bemærkning til Endelig betænkning af 18. marts 2015

Beretning nr. 1/2014 om statens behandling af fortrolige oplysninger om personer og virksomheder

Sagen optages i Endelig betænkning 2014 som afsluttet sag med følgende statsrevisorbemærkning:

"Statsrevisorerne finder det tilfredsstillende, at ministrene hurtigt har taget en række initiativer for at styrke sikkerheden omkring statens behandling af fortrolige oplysninger om personer og virksomheder. 

Rigsrevisionen vil i den løbende it-revision følge op på, om initiativerne implementeres som planlagt, og at de fungerer i praksis."

Statsrevisorerne, den 18. marts 2015

Beretningshistorik