Syv ud af otte statslige myndigheder efterlever ikke persondataloven

05 oktober 2017

I efteråret 2016 iværksatte Datatilsynet en stikprøveundersøgelse blandt forskellige statslige myndigheder, om hvorvidt myndighederne levede op til persondataloven. Nu er afgørelsen kommet.

Hvert år foretager Datatilsynet en række tilsyn, som enten foregår ved brug af spørgeskemaer eller ved fysiske besøg i den pågældende virksomhed eller myndighed. I efteråret 2016 blev der indledt en stikprøveundersøgelse med otte af landets statslige myndigheder.

Om undersøgelsen

Undersøgelsen er foregået ved skriftlig indsamling af spørgeskemaer, hvorefter der er stillet opklarende spørgsmål. I undersøgelsen har der været et særligt fokus på de steder, hvor persondataloven og sikkerhedsbekendtgørelsen stiller formelle krav – herunder også spørgsmål om myndighedens eget tilsyn og deres databehandleraftaler. Dermed var omdrejningspunktet for undersøgelsen, de foranstaltninger som myndighederne skal sikre for at beskytte de personoplysninger, som de er ansvarlige for, så datatab gennem fx hackerangreb så vidt muligt undgås. Overordnet set viser undersøgelsen, at de statslige myndigheder ikke efterlever sikkerhedsreglerne.

Resultatet af undersøgelsen

Datatilsynet har overordnet kategoriseret sin kritik af myndigheder, hvor efterlevelsen af persondataloven har været hhv. meget kritisabel og kritisabel.

Meget kritisabel: fire statslige myndigheder har meget omfattende mangler i efterlevelsen af persondataloven. Det drejer sig om hhv. Beskæftigelsesministeriet, Sundheds- og Ældreministeriet, Sundhedsdatastyrelsen og Vejdirektoratet.

Kritisabel: Rigsadvokaten, Rigspolitiet og Udlændinge- og Integrationsministeriet har ifølge Datatilsynet omfattende mangler i efterlevelsen af persondataloven.

Den sidste statslige myndighed, Udbetaling Danmark, efterlever kravene til persondataloven og får derfor ingen kritik.

Et wake-up call

Leder af Datatilsynets tilsynsenhed udtaler i forbindelse med undersøgelsen: "De krav, som i dag følger af persondataloven, går ikke væk med den nye databeskyttelsesforordning – tværtimod – så det handler om, at organisationer, der behandler personoplysninger, skal se at få styr på deres data og deres databehandlere".

Der er således næppe megen tvivl om, at undersøgelsen vil fungere som et wake-up call for at tilskynde danske myndigheder til at få styr på håndteringen af personoplysninger, inden forordningen træder i kraft den 25. maj 2018.