Beretning om outsourcede persondata

15-05-2020

Beretning nr. 15/2019

Beretningen handler om outsourcede persondata.

Danmark er et af de mest digitaliserede lande i verden, og et stort udbud af digitale tjenester gør livet nemmere for både borgere, virksomheder og myndigheder. Offentlige myndigheder indsamler og behandler derfor mange følsomme og fortrolige oplysninger om borgerne.

Formålet med undersøgelsen er at vurdere, om myndighederne har ydet en tilfredsstillende indsats for at sikre, at outsourcede følsomme og fortrolige persondata om borgerne opbevares sikkert. Rigsrevisionen besvarer følgende spørgsmål i beretningen:

  • Har myndighederne haft en tilfredsstillende styring af databehandlere, som opbevarer følsomme eller fortrolige persondata?
  • Har Justitsministeriet, herunder Datatilsynet, og Finansministeriet i tilstrækkelig grad understøttet de øvrige myndigheders styring af databehandlere?

Rigsrevisionen vurderer, at myndighederne samlet set har ydet en utilfredsstillende indsats for at sikre, at outsourcede følsomme og fortrolige persondata om borgerne opbevares sikkert.

Rigsrevisionen har selv taget initiativ til undersøgelsen i februar 2019.

Som et pilotprojekt har Rigsrevisionen udarbejdet en animationsvideo, som forklarer en række af beretningens væsentligste resultater. Animationsvideoen kan ses nedenfor.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 15. maj 2020 behandlede Statsrevisorerne

Beretning nr. 15/2019 om outsourcede persondata

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Danmark er et af de mest digitaliserede lande i verden. Digitaliseringen betyder, at de offentlige myndigheder indsamler og behandler mange oplysninger om borgerne. En stor del af oplysningerne er af følsom eller fortrolig karakter. Det kan derfor have store negative konsekvenser for såvel den enkelte borger som for den offentlige forvaltning, hvis oplys­ning­er­ne ender i de forkerte hænder eller går tabt.

Danmark er blandt de lande i EU, som outsourcer den største andel af statslige it-systemer. Outsourcing betyder, at en opgave, fx drift, vedligeholdelse og udvikling af it-tjenester, overlades til en ekstern leverandør, fx en privat virksomhed eller en anden offentlig myndighed. Outsourcing muliggør på den ene side billigere drift og bedre udnyttelse af eksperti­se, men ændrer samtidig styringsopgaven fra at være operationel til at være en kontraktbaseret styring af relationen til de eksterne databehandlere. I denne undersøgelse har Rigsrevisionen gennemgået 148 it-systemer, hvor opbevaringen af persondata er outsourcet af myndigheder på alle ministerområder, undtagen Udenrigsministeriet, og af Region Midtjylland.

Statsrevisorerne påtaler og finder det meget alvorligt, at myndig­hedernes styring ikke har sikret, at outsourcede følsomme og fortrolige persondata opbevar­es sikkert hos de eksterne databehandlere. Statsrevisorerne påtaler i den forbindelse, at myndighederne ikke har overholdt reglerne om databeskyttelse, herunder krav om at udarbej­de risikovurderinger, indgå databehandleraftaler og føre tilsyn med databehandlerne, som har været gældende siden 2000.

Statsrevisorerne bemærker, at særligt Udlændinge- og Integra­tions­ministeriet og Region Midtjylland har haft en kritisabel sty­ring af eksterne databehandlere, mens Finansministeriet har haft den bedste styring af databehandlere.

Statsrevisorerne finder det utilfredsstillende, at Justitsministeriet, herunder Datatilsynet, og Finansministeriet ikke i tilstrækkelig grad har understøttet de øvrige myndigheders styring af databehandlere.

Statsrevisorerne har hæftet sig ved disse resultater fra undersøgelsen:

  • Myndighederne har ikke udarbejdet en risikovurdering, inden de har indgået en databehandleraftale, for 58 % af de it-systemer, der indgår i undersøgelsen. Myndighederne har således ikke haft grundlag for at fastsætte passende sikkerhedsforanstaltninger eller planlægge deres tilsyn.
  • Myndighederne har kun i 6 ud af 17 tilfælde, hvor de benytter globale cloud-udbydere til at opbevare persondata, udarbejdet en risiko­vurdering, og flere myndigheder har i øvrigt ikke haft fuld klarhed over indholdet af de standardvilkår, som de har accepteret.
  • Myndighederne har ikke indgået en databehandleraftale for 14 % af it-systemerne, selv om de har outsourcet opbevaringen af følsom­me eller fortrolige persondata.
  • Myndighederne har ikke ført tilsyn med databehandlerne for 23 % af systemerne og har ikke undersøgt, om databehandlerne overhold­er vilkårene i databehandleraftalen og databeskyttelsesreg­lerne.
  • Myndighederne har for 24 % af systemerne ikke haft kendskab til alle de underdatabehand­lere, der har behandlet deres følsomme og fortrolige person­data.
  • Justitsministeriet har ikke udgivet hverken en bekendtgørelse eller en vejledning om lokationskravet, som bestemmer, hvilke it-syste­mer der af hensyn til statens sikkerhed skal opbevares i Dan­mark.
  • Væsentlige vejledninger fra Justitsministeriet og Finansministeriet udkom først, efter at myndighederne skulle have implementeret GDPR (databeskyttelsesforordningen).
  • Datatilsynet har ikke ført et risikobaseret tilsyn og har ikke opdateret sin strategi, siden GDPR blev gældende i maj 2018. Datatilsynet har hel­ler ikke gennemført de tilsyn hos offentlige myndigheder og priva­te virksomheder, som var planlagt. Det har medført lav risiko for at blive opdaget i overtrædelser af reglerne om databeskyttelse.

Statsrevisorerne finder det bekymrende, at der stadig er så store problemer med sikring af følsomme og fortrolige persondata. Der er gået 8 år siden det største læk af fortrolige persondata og mere end 5 år, siden Statsrevisorerne skarpt kritiserede, at en række statslige institutioner ik­ke i tilstrækkeligt omfang beskytter fortrolige oplysninger om personer og virksomheder i beretning nr. 1/2014 om statens behandling af fortrolige oplysninger om personer og virksomheder."

Rigsrevisionens notat af 4. november 2020

Rigsrevisionen følger i dette notat op på beretning nr. 15/2019 om outsourcede persondata.

Notatet er baseret på redegørelser fra alle ministre med undtagelse af udenrigsministeren, idet ministeriet ikke indgik i den tværgående undersøgelse. Notatet handler om de initiativer, som ministrene vil iværksætte som følge af Statsrevisorernes bemærkninger og beretningens konklusioner.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

  • Beskæftigelsesministeriets, Erhvervsministeriets, Finansministeriets, Forsvarsministeriets, Justitsministeriets, Kirkeministeriets, Klima-, Energi- og Forsyningsministeriets, Miljø- og Fødevareministeriets, Region Midtjyllands, Skatteministeriets, Soci­al- og Indenrigsministeriets, Sundheds- og Ældreministeriets, Transport- og Boligministeriets og Uddannelses- og Forskningsministeriets indsats med at udarbejde risikovurderinger
  • Erhvervsministeriets, Justitsministeriets, Region Midtjyllands og Sundheds- og Ældreministeriets indsats med at indgå databehandleraftaler
  • Beskæftigelsesministeriets, Finansministeriets, Forsvarsministeriets, Justitsministeriets, Klima-, Energi- og Forsyningsministeriets, Kulturministeriets, Region Midtjyllands, Sundheds- og Ældreministeriets, Transport- og Boligministeriets, Uddannelses- og Forskningsministeriets og Udlændinge- og Integrationsministeriets indsats med at udføre tilsyn
  • Datatilsynets arbejde med at indføre et risikobaseret tilsyn. 

Hele notatet (PDF)

Rigsrevisionens notat af 20. maj 2022

Rigsrevisionen følger i dette notat op på beretning nr. 15/2019 om outsourcede persondata. 

Der er i notatet fulgt op på følgende områder: 

  • myndighedernes indsats med at udarbejde risikovurderinger, når de outsourcer opbevaringen af følsomme eller fortrolige persondata
  • myndighedernes indsats med at indgå databehandleraftaler med deres databehandlere, som opbevarer følsomme eller fortrolige persondata
  • myndighedernes indsats med at udføre tilsyn med deres databehandlere, som opbevarer følsomme eller fortrolige persondata
  • Datatilsynets arbejde med at indføre et risikobaseret tilsyn. 

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Skatteministeriets og Region Midtjyllands indsats med at udarbejde risikovurderinger, når de outsourcer opbevaringen af følsomme eller fortrolige persondata
  • Datatilsynets arbejde med at indføre et risikobaseret tilsyn, herunder Datatilsynets implementering af de 8 indsatser i Datatilsynets nuværende strategi.

Hele notatet (PDF)

Rigsrevisionens notat af 27. juni 2024

Rigsrevisionen følger i dette notat op på beretning nr. 15/2019 om outsourcede persondata. 

Der er i notatet fulgt op på følgende områder: 

  • Skatteministeriets og Region Midtjyllands indsats med at udarbejde risikovurderinger, når de outsourcer opbevaringen af følsomme eller fortrolige persondata
  • Datatilsynets arbejde med at indføre et risikobaseret tilsyn, herunder Datatilsynets implementering af de 8 indsatser i Datatilsynets nuværende strate­gi. 

Rigsrevisionen vurderer, at sagen kan afsluttes. 

Hele notatet (PDF)

Beretningshistorik