SecurityWorldMarket

19-05-2020

Rigsrevisionen kritiserer Datatilsynet

Rigsrevisionen kritiserer en række myndigheder for ikke at have gjort nok for at sikre, at personoplysninger opbevares sikkert hos databehandlere. En del af kritikken er også møntet på Datatilsynet.

Rigsrevisionen har afgivet en beretning til Statsrevisorerne om ”outsourcede persondata”. Beretningen ser på, hvorvidt en række myndigheder har ydet en tilfredsstillende indsats for at sikre, at outsourcede personoplysninger opbevares sikkert.

"Det er et vigtigt område, Rigsrevisionen her kaster sig over. Datatilsynet har haft øget fokus på databehandlere siden 2016, og undersøgelsen ligger således i forlængelse af dette fokus. Men den viser desværre også et behov for, at både vi og myndighederne arbejder meget mere med området," siger Datatilsynets direktør Cristina Angela Gulisano.

Rigsrevisionen konkluderer, at mange myndigheder har haft en utilstrækkelig styring af databehandlere og bl.a. alt for sjældent har udarbejdet risikovurderinger. Beretningen rejser også kritik af bl.a. Datatilsynet på en række punkter. Datatilsynet tager kritikken alvorligt og har på flere områder allerede iværksat ændringer.

Manglende dokumentation

Et af Rigsrevisionens kritikpunkter er, at det ikke er dokumenteret, at Datatilsynets planlagte tilsyn er risikobaserede.

"Når vi udvælger de konkrete emner og dataansvarlige, de planlagte tilsyn skal omfatte, er det baseret på, hvor vi vurderer, at risikoen for manglende overholdelse af reglerne er størst. Dette har vi ikke være gode nok til at dokumentere. Derfor har vi også fuld forståelse for Rigsrevisionens kritik på dette punkt. Vi arbejder allerede på et mere dokumenteret og databaseret koncept for udførelsen af de planlagte tilsyn, og vi forventer, at det vil imødekomme Rigsvisionens kritik," siger Cristina Angela Gulisano.

For få afsluttede planlagte tilsyn

Rigsrevisionen hæfter sig også ved, hvor mange af Datatilsynets planlagte tilsyn, der er afsluttet, fordi afgørelserne ifølge Rigsrevisionen fungerer som fortolkningsbidrag for dataansvarlige i forhold til selv at efterleve reglerne. Og der er ikke afsluttet så mange tilsyn som planlagt.

"Det er helt rigtigt, at det ikke går så stærkt, som vi havde håbet. Derfor er vi ved at gentænke konceptet for planlagte tilsyn ved at etablere nogle nye tilsynsformer. Vi behandler dog et stort antal klager og får dagligt et betydeligt antal underretninger om sikkerhedsbrud, og begge dele er ligesom de planlagte tilsyn med til at fastlægge praksis. Vi offentliggør løbende principielle afgørelser - ikke blot på baggrund af planlagte tilsyn, men også klager og sikkerhedsbrud," siger Cristina Angela Gulisano.

For sen vejledning

En væsentlig del af Rigsrevisionens kritik består i, at antallet af vejledninger, der var offentliggjort 25. maj 2018, da databeskyttelsesforordningen fik virkning i Danmark, var for lavt. Der er udkommet flere vejledninger efter denne dato, og Rigsrevisionen finder det uhensigtsmæssigt, at de ikke lå klar tidligere.

"Vi har udgivet en lang række vejledninger gennem de seneste år, og vi har flere på vej. Vejledningsindsatsen er en løbende opgave, som skal tage højde for udviklingen i samfundet. Vi hæfter os derfor mindre ved datoen 25. maj 2018 og mere ved, at vi til stadighed får fortolket og formidlet relevante regler. Lige nu har vi særligt fokus på at gøre vejledningerne mere konkrete og målrettede," siger Cristina Angela Gulisano og tilføjer:

"Vi forsøger dog også at tænke vejledningsindsatsen bredere. Ud over vores løbende og meget omfangsrige telefoniske vejledning har vi brugt en del kræfter på faglige oplæg på konferencer, udgivelse af podcast om databeskyttelsesretlige emner o.l."


Leverandører
Tilbage til toppen