Socialudvalget 2011-12
L 87 Bilag 1
Offentligt
Social- og IntegrationsministerietHolmens Kanal 221060 København KSendt til: [email protected]
9. februar 2012
Vedrørende høring over revideret udkast til forslag om lov om Udbeta-ling Danmark1.Ved e-mail af 2. februar 2012 har Social- og Integrationsministeriet anmo-det om Datatilsynets eventuelle bemærkninger til ovenstående reviderede ud-kast til lovforslag. Det er af ministeriet oplyst, at lovforslaget forventes frem-sat den 9. februar 2012.Datatilsynet har noteret sig, at Social- og Integrationsministeriet har forholdtsig til de bemærkninger, som tilsynet fremkom med ved brev af 14. december2011 til det oprindelige udkast til lov om sagsbehandling og administration iUdbetaling Danmark (Fastlæggelse af borgerens rettigheder, UdbetalingDanmarks sagsbehandling, Udbetaling Danmarks ledelse og tilsyn med Udbe-taling Danmark mv.), og har foretaget væsentlige ændringer i lovudkastet.Det reviderede lovudkast rejser efter Datatilsynets vurdering fortsat enkeltespørgsmål, som tilsynet må henstille afklaret i det videre forløb, jf. nedenforunder pkt. 2.2. Dataansvar2.1. Terminaladgang til fælles it-løsning2.1.1.Af det reviderede udkasts § 8, stk. 1, fremgår, at Udbetaling Danmarkog kommunen til brug for vurdering af, om oplysningen skal videregives tilden anden myndighed, har terminaladgang til et register med nødvendige op-lysninger om, hvilke typer af kontante ydelser og økonomiske tilskud borge-ren har modtaget de seneste tre måneder samt oplysninger om størrelsen påydelsen og tilskuddet.Af udkastets § 8, stk. 2, fremgår endvidere, at Udbetaling Danmark og kom-munen har terminaladgang til et register til brug for beregning af pension.Efter udkastets § 8, stk. 3, har kommunen og Udbetaling Danmark pligt til atstille de nødvendige oplysninger efter stk.1 og 2, til rådighed for de nævnteregistre.Af de almindelige bemærkninger, afsnit 2.7.2.3., side 39, fremgår, at kommu-nerne og Udbetaling Danmark får terminaladgang for opslag i et fælles it-system, hvor de kan se, hvilke kontante ydelser og økonomiske tilskud, en
DatatilsynetBorgergade 28, 5.1300 København KCVR-nr. 11-88-37-29Telefon 3319 3200Fax 3319 3218E-mail[email protected]www.datatilsynet.dkJ.nr. 2011-112-0438SagsbehandlerMaja BlomquistRasmussenDirekte 3319 3229
2
borger modtager fra begge myndigheder. Kommunerne og Udbetaling Dan-mark får kun adgang til at redigere oplysninger i forhold til egne sagsområder.Af bemærkningerne til § 8, side 97, fremgår endvidere.:”Adgang til data i § 8 vil ske via adgang til at kigge i et data i et fælles it-system, hvorhenholdsvis kommunen og Udbetaling Danmark er dataansvarlig for databehandling afde kontante ydelser og økonomiske tilskud, der hører under eget sagsområde. Det erkun den myndighed, der har dataansvaret, som har adgang til at redigere i oplysning-erne. Det vil sige, at kommunen og Udbetaling Danmark alene får adgang til at se,men ikke ændre i de nævnte oplysninger fra den anden myndighed.”
2.1.2.Datatilsynet har forstået lovforslaget sådan, at dataansvaret for oplys-ningerne i det fælles it-system er delt, således at den myndighed, der læggeroplysningerne ind i systemet, er dataansvarlig for disse oplysninger.Det står imidlertid ikke tilsynet klart, hvilken myndighed der er overordnetdataansvarlig for de to registre og det bagvedliggende it-system. Dermed erdet heller ikke klart, hvilken myndighed der eksempelvis skal sikre de regi-streredes rettigheder efter persondatalovens kapitel 8-10 eller opfylde kravenetil datasikkerhed i persondatalovens kapitel 11 og sikkerhedsbekendtgørelseni forhold til disse registre.Opdelingen af dataansvar mellem Udbetaling Danmark og kommunerne fore-kommer uhensigtsmæssig, da det efter tilsynets opfattelse vil være svært forde registrerede at gennemskue, hvilken myndighed der er dataansvarlig forhvilke oplysninger.Da fastlæggelsen af dataansvaret er helt grundlæggende for behandlingen afpersonoplysninger, skal Datatilsynet henstille, at dette afklares og præciseres.2.2. Kommunens sagsoplysning2.2.1.Af udkastets § 11 fremgår bl.a., at kommunen efter anmodning fra Ud-betaling Danmark har pligt til at forestå hele eller dele af sagsoplysningen isager om tilbagebetaling af kontante ydelser og økonomiske tilskud, som enborger kan have modtaget med urette og mod bedre vidende i sager på Udbe-taling Danmarks sagsområde.Af de almindelige bemærkninger, afsnit 2.9, side 55, fremgår bl.a.:”Da kommunen efter en anmodning fra Udbetaling Danmark får et selvstændigtmyndighedsansvar for at oplyse en sag, og ikke handler på Udbetaling Danmarksvegne, vurderes det at være hensigtsmæssigt, at kommunen i disse sager er dataan-svarlig, mens kommunen oplyser sagen for Udbetaling Danmark. Når kommunen haroplyst sagen og oversender oplysningerne til Udbetaling Danmark, overgår ansvaret tilUdbetaling Danmark.”
Af bemærkningerne til § 11, side 108, fremgår bl.a.:
3
”I de tilfælde, hvor kommunen overtager sagsoplysningen i medfør af forslaget til §11, i dette lovforslag på Udbetaling Danmarks vegne, vil kommunen således fortsatkunne iværksætte en kontrol af løn- og arbejdsforhold i en virksomhed […]”
Endvidere fremgår:”De oplysninger, som kommunen indhenter efter forslaget til § 11, kan anvendes tilkommunens egne sager i overensstemmelse med persondatalovens regler.”
2.2.2.Det står ikke Datatilsynet klart, hvorfor kommunen skal betragtes somdataansvarlig, når den forestår en sagsoplysning på vegne af UdbetalingDanmark. Beskrivelsen af kommunens rolle og opgave taler således for, atkommunen må betragtes som databehandler, jf. definitionen på en databe-handler i persondatalovens § 3, nr. 5.Datatilsynet har herved lagt vægt på, at kommunen udelukkende kan foreståsagsoplysningen efteranmodningfra Udbetaling Danmark, jf. definitionen påen dataansvarlig i persondatalovens § 3, nr. 4, og at Udbetaling Danmark bl.a.bibeholder pligten til at foretage partshøring efter forvaltningsloven.Datatilsynet er endvidere ikke klar over, hvad der menes med, at kommunenkan anvende oplysninger indhentet efter § 11 ”til kommunens egne sager ioverensstemmelse med persondatalovens regler”.Tilsynet vurderer således umiddelbart, at de omhandlede oplysninger indhen-tes med henblik på et specifikt formål, og at oplysningerne ikke vil kunneanvendes i anden – udefineret – sammenhæng.Da fastlæggelsen af dataansvaret er helt grundlæggende for behandlingen afpersonoplysninger, skal Datatilsynet henstille til, at de nævnte forhold afkla-res og præciseres. Tilsynet kan endvidere henvise til sit høringsbrev af 14.december 2011, afsnit 4.2.2.Kopi af dette brev sendes til Justitsministeriets lovafdeling til orientering.
Med venlig hilsen
Jakob LundsagerChefkonsulent
4
9. februar 2012
DatatilsynetBorgergade 28, 5.1300 København KCVR-nr. 11-88-37-29Telefon 3319 3200Fax 3319 3218E-post[email protected]www.datatilsynet.dkJ.nr. 2011-112-0439SagsbehandlerMaja BlomquistRasmussenDirekte 3319 3229
Vedrørende fornyet høring over forslag til lov om ændring af forskelligelove som følge af etableringen af Udbetaling Danmark og om ophævelseaf lov om ændring af regler for statens udbetaling af refusion af kommu-nernes udgifter i henhold til den sociale pensions- og bistandslovgivningm.v. (Fordeling af myndighedsansvaret mellem kommunerne og Udbeta-ling Danmark m.v.)1.Ved e-mail af 7. februar 2012 har Social- og Integrationsministeriet anmo-det om Datatilsynets eventuelle bemærkninger til ovennævnte udkast til lov-forslag. Det er af ministeriet oplyst, at lovforslaget forventes fremsat den 9.februar 2012.Datatilsynet har noteret sig, at Social- og Integrationsministeriet har forholdtsig til de bemærkninger, som tilsynet fremkom med ved brev af 12. december2011 til det oprindelige udkast til lov om ændring af lov om social pension,lov om højeste, mellemste, forhøjet almindelig og almindelig førtidspensionm.v., lov om individuel boligstøtte og forskellige andre love (Fordeling afmyndighedsansvar mellem kommuner og Udbetaling Danmark m.v.)Datatilsynet finder dog, at lovforslaget fortsat indeholder uklare forhold ved-rørende forslagets § 27, som tilsynet vil behandle i det følgende.2. Arkivregler2.1.Af bemærkningerne til lovforslagets § 27, stk. 1, fremgår bl.a.:”Sager, der er afleveret til offentligt arkiv, er ikke omfattet af § 26 [sic]. Som følgeheraf skal udlevering af arkivalier fra kommunen ikke ske i medfør af arkivlovens §§32 og 34. Forslaget til § 26 [sic] vil således ikke medføre, at Datatilsynet skal givesamtykke til udleveringen.”
Af bemærkningerne til § 27, stk. 2, fremgår endvidere:”Det foreslås i stk. 2, at kommunen efter anmodning fra Udbetaling Danmark skalsende en kopi af de ønskede akter fra sager, der efter stk. 1, nr. 1-2, opbevares i kom-munen. Det er hensigten, at fremsendelse af kopier sker elektronisk. Kommunen har iforbindelse med anmodninger om kopi af akter fra Udbetaling Danmark uden samtyk-ke fra borgeren ret til at gennemgå og sortere en sag, som kommunen opbevarer forUdbetaling Danmark, med henblik på at kunne imødekomme Udbetaling Danmarks
5
anmodning. Kommunen har desuden ret til at gennemgå og sortere en sag, som kom-munen opbevarer for Udbetaling Danmark, hvis sagen indeholder oplysninger, dervedrører kommunens myndighedsområde, og som kommunen har et sagligt behov for.Det kan for eksempelvis være, hvis borgeren beder om at genoptage en sag på kom-munens myndighedsområde. Når en kommune modtager en anmodning fra UdbetalingDanmark om at sende en sag, som kommunen opbevarer for Udbetaling Danmark,skal kommunen betragtes som databehandler for Udbetaling Danmark. Kommunenkan derfor indhente oplysningen uden samtykke fra borgeren.”
2.2.Det står ikke Datatilsynet klart, hvorfor kommunens udlevering af arkiva-lier ikke er omfattet af arkivlovens regler.Datatilsynet skal som i sit høringssvar af 12. december 2011 henlede Social-og Integrationsministeriets opmærksomhed på arkivlovens §§ 32 og 34, derhar følgende ordlyd:”§32.Kommunalbestyrelsen eller regionsrådet kan i konkrete tilfælde meddele tilla-delse til benyttelse af dokumenter, arkivenheder eller grupper af arkivenheder, som erafleveret til et kommunalt eller regionalt arkiv, inden udløbet af tilgængelighedsfri-sterne, jf. dog § 34.””§34.Tilladelse efter §§ 31 og 32 kræver samtykke fra Datatilsynet, hvis arkivenhe-den er afleveret fra en myndighed inden for den offentlige forvaltning og indeholderoplysninger om enkeltpersoners rent private forhold og1) tidligere behandling af oplysningerne har været omfattet af lov om behand-ling af personoplysninger eller2) oplysningerne stammer fra et edb-register, der har været først for den offent-lige forvaltning.”
Datatilsynet må lægge til grund, at de i forslagets § 27, stk. 2, nævnte videre-givelser, er videregivelser af arkiverede oplysninger.Efter Datatilsynets praksis sidestilles det, at oplysninger overføres til arkiv,med sletning. Dermed er der ikke længere tale om oplysninger omfattet afpersondataloven, men oplysninger omfattet af arkivloven, hvorfor eventuellevideregivelser skal ske i medfør af denne lov og ikke persondataloven.Det står således ikke Datatilsynet klart, om der med forslagets § 27, stk. 2,sker en fravigelse af arkivlovens §§ 32 og 34.Datatilsynet må endvidere lægge til grund, at den i bemærkningerne til lov-forslagets § 27 omtalte situation, hvor kommunen skal videregive arkiveredeakter til Udbetaling Danmark, formentligt vil finde sted i et ikke ubetydeligtantal tilfælde.Datatilsynet skal derfor fortsat henstille, at det overvejes, hvordan lovforsla-gets § 27 tænkes udmøntet set i forhold til den beskrevne situation. Hvis detforudsættes på baggrund af det ovenfor anførte, at Datatilsynet i medfør afarkivlovens § 34 skal give samtykke, må det forventes at medføre en ikkeubetydelig arbejdsbyrde for tilsynet, som ikke har været forudsat tidligere.
6
Der er i lovforslaget ikke taget stilling til de økonomiske konsekvenser fortilsynet i den forbindelse.Social- og Integrationsministeriet2.3.Det står endvidere ikke tilsynet klart, hvad derHolmens Kanal 22menes med, at kommunen vil være databehandler for1060 København KUdbetaling Danmark, når kommunen modtager enanmodning fra Udbetaling Danmark om at sende enSendt til: [email protected]sag, som kommunen opbevarer for Udbetaling Dan-mark.Når Udbetaling Danmark har overført oplysninger til arkiv hos kommunen,eller når kommunen har overført oplysninger til arkiv, finder persondataloven9. februar 2012
Vedrørende høring over revideret udkast til forslag om lov om Udbeta-ling Danmarkikke længere anvendelse, hvorfor f.eks. Udbetaling Danmark efter Datatilsy-nets opfattelse ikke længere kan siges at være dataansvarlig for oplysningerne,ligesom kommunen heller ikke kan siges at være databehandler for Udbeta-ling Danmark.Datatilsynet må på den baggrund henstille, at lovforslagets § 27 overvejesnærmere i det videre forløb.Kopi af dette brev er dags dato sendt til Justitsministeriets lovafdeling til ori-entering.
DatatilsynetBorgergade 28, 5.1300 København KCVR-nr. 11-88-37-29Telefon 3319 3200Fax 3319 3218E-mail[email protected]www.datatilsynet.dkJ.nr. 2011-112-0438SagsbehandlerMaja BlomquistRasmussenDirekte 3319 3229
Med venlig hilsen
Jakob LundsagerChefkonsulent
1.Ved e-mail af 2. februar 2012 har Social- og Integrationsministeriet anmo-det om Datatilsynets eventuelle bemærkninger til ovenstående reviderede ud-kast til lovforslag. Det er af ministeriet oplyst, at lovforslaget forventes frem-sat den 9. februar 2012.
7
Datatilsynet har noteret sig, at Social- og Integrationsministeriet har forholdtsig til de bemærkninger, som tilsynet fremkom med ved brev af 14. december2011 til det oprindelige udkast til lov om sagsbehandling og administration iUdbetaling Danmark (Fastlæggelse af borgerens rettigheder, UdbetalingDanmarks sagsbehandling, Udbetaling Danmarks ledelse og tilsyn med Udbe-taling Danmark mv.), og har foretaget væsentlige ændringer i lovudkastet.Det reviderede lovudkast rejser efter Datatilsynets vurdering fortsat enkeltespørgsmål, som tilsynet må henstille afklaret i det videre forløb, jf. nedenforunder pkt. 2.2. Dataansvar2.1. Terminaladgang til fælles it-løsning2.1.1.Af det reviderede udkasts § 8, stk. 1, fremgår, at Udbetaling Danmarkog kommunen til brug for vurdering af, om oplysningen skal videregives tilden anden myndighed, har terminaladgang til et register med nødvendige op-lysninger om, hvilke typer af kontante ydelser og økonomiske tilskud borge-ren har modtaget de seneste tre måneder samt oplysninger om størrelsen påydelsen og tilskuddet.Af udkastets § 8, stk. 2, fremgår endvidere, at Udbetaling Danmark og kom-munen har terminaladgang til et register til brug for beregning af pension.Efter udkastets § 8, stk. 3, har kommunen og Udbetaling Danmark pligt til atstille de nødvendige oplysninger efter stk.1 og 2, til rådighed for de nævnteregistre.Af de almindelige bemærkninger, afsnit 2.7.2.3., side 39, fremgår, at kommu-nerne og Udbetaling Danmark får terminaladgang for opslag i et fælles it-system, hvor de kan se, hvilke kontante ydelser og økonomiske tilskud, enborger modtager fra begge myndigheder. Kommunerne og Udbetaling Dan-mark får kun adgang til at redigere oplysninger i forhold til egne sagsområder.Af bemærkningerne til § 8, side 97, fremgår endvidere.:”Adgang til data i § 8 vil ske via adgang til at kigge i et data i et fælles it-system, hvorhenholdsvis kommunen og Udbetaling Danmark er dataansvarlig for databehandling afde kontante ydelser og økonomiske tilskud, der hører under eget sagsområde. Det erkun den myndighed, der har dataansvaret, som har adgang til at redigere i oplysning-erne. Det vil sige, at kommunen og Udbetaling Danmark alene får adgang til at se,men ikke ændre i de nævnte oplysninger fra den anden myndighed.”
2.1.2.Datatilsynet har forstået lovforslaget sådan, at dataansvaret for oplys-ningerne i det fælles it-system er delt, således at den myndighed, der læggeroplysningerne ind i systemet, er dataansvarlig for disse oplysninger.Det står imidlertid ikke tilsynet klart, hvilken myndighed der er overordnetdataansvarlig for de to registre og det bagvedliggende it-system. Dermed erdet heller ikke klart, hvilken myndighed der eksempelvis skal sikre de regi-
8
streredes rettigheder efter persondatalovens kapitel 8-10 eller opfylde kravenetil datasikkerhed i persondatalovens kapitel 11 og sikkerhedsbekendtgørelseni forhold til disse registre.Opdelingen af dataansvar mellem Udbetaling Danmark og kommunerne fore-kommer uhensigtsmæssig, da det efter tilsynets opfattelse vil være svært forde registrerede at gennemskue, hvilken myndighed der er dataansvarlig forhvilke oplysninger.Da fastlæggelsen af dataansvaret er helt grundlæggende for behandlingen afpersonoplysninger, skal Datatilsynet henstille, at dette afklares og præciseres.2.2. Kommunens sagsoplysning2.2.1.Af udkastets § 11 fremgår bl.a., at kommunen efter anmodning fra Ud-betaling Danmark har pligt til at forestå hele eller dele af sagsoplysningen isager om tilbagebetaling af kontante ydelser og økonomiske tilskud, som enborger kan have modtaget med urette og mod bedre vidende i sager på Udbe-taling Danmarks sagsområde.Af de almindelige bemærkninger, afsnit 2.9, side 55, fremgår bl.a.:”Da kommunen efter en anmodning fra Udbetaling Danmark får et selvstændigtmyndighedsansvar for at oplyse en sag, og ikke handler på Udbetaling Danmarksvegne, vurderes det at være hensigtsmæssigt, at kommunen i disse sager er dataan-svarlig, mens kommunen oplyser sagen for Udbetaling Danmark. Når kommunen haroplyst sagen og oversender oplysningerne til Udbetaling Danmark, overgår ansvaret tilUdbetaling Danmark.”
Af bemærkningerne til § 11, side 108, fremgår bl.a.:”I de tilfælde, hvor kommunen overtager sagsoplysningen i medfør af forslaget til §11, i dette lovforslag på Udbetaling Danmarks vegne, vil kommunen således fortsatkunne iværksætte en kontrol af løn- og arbejdsforhold i en virksomhed […]”
Endvidere fremgår:”De oplysninger, som kommunen indhenter efter forslaget til § 11, kan anvendes tilkommunens egne sager i overensstemmelse med persondatalovens regler.”
2.2.2.Det står ikke Datatilsynet klart, hvorfor kommunen skal betragtes somdataansvarlig, når den forestår en sagsoplysning på vegne af UdbetalingDanmark. Beskrivelsen af kommunens rolle og opgave taler således for, atkommunen må betragtes som databehandler, jf. definitionen på en databe-handler i persondatalovens § 3, nr. 5.Datatilsynet har herved lagt vægt på, at kommunen udelukkende kan foreståsagsoplysningen efteranmodningfra Udbetaling Danmark, jf. definitionen påen dataansvarlig i persondatalovens § 3, nr. 4, og at Udbetaling Danmark bl.a.bibeholder pligten til at foretage partshøring efter forvaltningsloven.
9
Datatilsynet er endvidere ikke klar over, hvad der menes med, at kommunenkan anvende oplysninger indhentet efter § 11 ”til kommunens egne sager ioverensstemmelse med persondatalovens regler”.Tilsynet vurderer således umiddelbart, at de omhandlede oplysninger indhen-tes med henblik på et specifikt formål, og at oplysningerne ikke vil kunneanvendes i anden – udefineret – sammenhæng.Da fastlæggelsen af dataansvaret er helt grundlæggende for behandlingen afpersonoplysninger, skal Datatilsynet henstille til, at de nævnte forhold afkla-res og præciseres. Tilsynet kan endvidere henvise til sit høringsbrev af 14.december 2011, afsnit 4.2.2.Kopi af dette brev sendes til Justitsministeriets lovafdeling til orientering.
Med venlig hilsen
Jakob LundsagerChefkonsulent