L 68 - 2017-18 - Endeligt svar på spørgsmål 98: Spm., om borgeres dialog med byrådsmedlemmer via e-mail (officiel kommunal mail) vil blive ændret, såfremt den nye databeskyttelseslov vedtages i dens nuværende udformning, til justitsministeren

Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

17. april 2018

Databeskyttelseskontoret

Nanna Due Binø

2017-0037-0005

707107

Hermed sendes besvarelse af spørgsmål nr. 98 vedrørende forslag til lov om

supplerende bestemmelser til forordning om beskyttelse af fysiske personer

i forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om

ændring af lov om retshåndhævende myndigheders behandling af personop-

lysninger, lov om massemediers informationsdatabaser og forskellige andre

love (Konsekvensændringer som følge af databeskyttelsesloven og databe-

skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt

tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-

valg efter ønske fra Peter Kofod Poulsen (DF) har stillet til justitsministeren

den 9. april 2018.

Søren Pape Poulsen

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

L 68 - 2017-18 - Endeligt svar på spørgsmål 98: Spm., om borgeres dialog med byrådsmedlemmer via e-mail (officiel kommunal mail) vil blive ændret, såfremt den nye databeskyttelseslov vedtages i dens nuværende udformning, til justitsministeren

Spørgsmål nr. 98 fra Folketingets Retsudvalg på vegne af Peter Kofod

Poulsen (DF) vedrørende L 68 og L 69:

”Vil

ministeren redegøre for, om borgeres dialog med byråds-

medlemmer via email (officiel kommunal mail) vil blive ændret,

såfremt den nye databeskyttelseslov vedtages i dens nuværende

udformning, og om det vil medføre, at kommunalpolitikere ikke

kan besvare borgeres mails direkte, men f.eks. skal sende svar

via borgerens e-boks?”

Svar:

Reglerne om behandlingssikkerhed, herunder sikkerhed i forbindelse med

elektronisk kommunikation, følger efter gældende ret af persondatalovens

kapitel 11. Det følger således f.eks. af lovens § 41, stk. 3, at den dataansvar-

lige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforan-

staltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, forta-

bes eller forringes, samt mod, at de kommer til uvedkommendes kendskab,

misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens sikkerhedskrav for offentlige myndigheder er nærmere

uddybet i sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni

2000 som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) og i Data-

tilsynets sikkerhedsvejledning (vejledning nr. 37 af 2. april 2001).

Det følger af sikkerhedsbekendtgørelsens § 14, at der kun må etableres eks-

terne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger

for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang

til personoplysninger. Det følger uddybende herom af sikkerhedsvejlednin-

gen, at der generelt ved transmission af oplysninger over det åbne internet

er en risiko for, at oplysningerne undervejs læses og endog ændres af uved-

kommende. Det fremgår også af vejledningen, at fortroligheden kan sikres

ved forsvarlig kryptering af de transmitterede oplysninger. Hvis der er tale

om transmission af fortrolige oplysninger, herunder personnummer, skal der

som minimum foretages en kryptering. Hvis de transmitterede oplysninger

er af følsom karakter (omfattet af persondatalovens § 7, stk. 1, og § 8, stk. 1),

skal der anvendes en stærk kryptering baseret på en anerkendt algoritme.

Der er omvendt ikke et krav om, at almindelige oplysninger, der ikke er af

fortrolig eller følsom karakter, krypteres i f.eks. e-mails sendt fra offentlige

myndigheder.

Sikkerhedsbekendtgørelsen vil ikke kunne opretholdes, når databeskyttel-

sesforordningen finder anvendelse fra den 25. maj 2018, jf. betænkning

1565/2017 om databeskyttelsesforordningen, side 484. Det er dog Justits-

ministeriets vurdering, at databeskyttelsesforordningens artikel 32 om be-

handlingssikkerhed ikke sænker kravene til behandlingssikkerhed i forhold

til gældende ret.

Det følger dog af § 8 b i lov om kommunernes styrelse, der blev indført

med virkning fra den 1. januar 2018 ved lov nr. 1571 af 19. december 2017,

at persondataloven ikke finder anvendelse på behandling af oplysninger, der

foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv.

Ved en ændring af regionsloven er det ved samme lov sikret, at undtagelsen

også omfatter regionsrådsmedlemmer.

I ændringsforslag af 18. januar 2018 til L 69 (bilag 16) foreslås det, at § 8 b

i lov om kommunernes styrelse konsekvensrettes således, at det herefter

fremgår, at databeskyttelsesforordningen og databeskyttelsesloven ikke fin-

der anvendelse på behandling af oplysninger, der foretages som led i vare-

tagelsen af et kommunalbestyrelsesmedlems hverv. Konsekvensændringen

omfatter også regionsrådsmedlemmer.

Der er med denne ændring alene tale om en justering af lovteknisk karakter,

som ikke ændrer på gældende ret efter lov nr. 1571 af 19. december 2017.

Det fremgår af forarbejderne til lov nr. 1571 af 19. december 2017, at

undtagelsen i lovens § 8 b omfatter den behandling af oplysninger, der fo-

retages som led i kommunalbestyrelsesmedlemmers hverv, herunder parti-

eller listetilknyttet kommunikation, når medlemmet anvender en kommuni-

kationstjeneste, som medlemmet har fået stillet til rådighed af kommunen. I

praksis vil det være den behandling af oplysninger, der foretages af et kom-

munalbestyrelsesmedlem via en kommunikationstjeneste som f.eks. en

mailkonto eller en mobiltelefon, som et kommunalbestyrelsesmedlem får

stillet til rådighed som led i varetagelsen af sit hverv.

Det følger endvidere af forarbejderne, at undtagelsen i kommunestyrelses-

lovens § 8 b fra persondataloven indebærer, at et kommunalbestyrelsesmed-

lem ved en sådan behandling af oplysninger, ikke er omfattet af bl.a. per-

sondatalovens kapitel 11 om behandlingssikkerhed.

Derudover følger det af de nævnte forarbejder, at en kommune

–

ligesom i

forhold til oplysninger, der udleveres i papirform

–

fortsat vil have pligt til

at sikre, at transmissionen af oplysninger til medlemmet ved anvendelse af

en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af

kommunen, sker på en forsvarlig og sikker måde, samt at systemet i øvrigt

er forsvarligt og sikkert i forhold til den behandling af oplysninger, som fo-

retages, herunder af oplysninger, som måtte tilgå medlemmet fra kommunen

som led i medlemmets varetagelse af sit hverv.

Det anføres også i forarbejderne til kommunestyrelseslovens § 8 b, at et

kommunalbestyrelsesmedlem fortsat vil være omfattet af reglerne om tavs-

hedspligt i forhold til de oplysninger, som medlemmet modtager i forbin-

delse med sit hverv. Det forudsættes samtidigt, at kommunalbestyrelses-

medlemmer generelt bliver gjort bekendt med, hvornår en oplysning kan

være eller er omfattet af reglerne om tavshedspligt, betydningen heraf og de

mulige konsekvenser ved uberettiget videregivelse af sådanne oplysninger.

Kommunalbestyrelsesmedlemmer må på den baggrund også i fremtiden

kunne føre almindelig korrespondance fra en mailkonto, som medlemmet

har fået stillet til rådighed af kommunen, uden i den forbindelse at skulle

overveje spørgsmål om kryptering af korrespondancen, så længe kommu-

nalbestyrelsesmedlemmet ikke inkluderer oplysninger af fortrolig eller føl-

som karakter i e-mailen.

Hvis kommunalbestyrelsesmedlemmet har behov for at inkludere oplysnin-

ger af fortrolig eller følsom karakter i en e-mail, må kommunens ovenfor

nævnte forpligtelse til at sikre, at systemet er

”forsvarligt

og sikkert i forhold

til den behandling af oplysninger, som foretages”, indebære, at kommunen

skal stille en løsning til rådighed, som sikrer, at kommunalbestyrelsesmed-

lemmet ikke risikerer at bryde sin tavshedspligt ved at sende ukrypterede e-

mails med fortrolige eller følsomme oplysninger. I disse situationer kan det

være en mulighed at benytte Digital Post-løsningen, der leveres af e-Boks,

eller andre løsninger, der sikrer, at e-mailen ikke i transmissionen læses eller

opsnappes af uvedkommende.