Fælles dataansvar for fællesstatslige it-systemer

Fælles dataansvar tydeliggør ansvarsdelingen på persondataområdet mellem Økonomistyrelsen og de institutioner, som benytter de fællesstatslige it-systemer.

Økonomistyrelsen og Datatilsynet har i samarbejde udarbejdet en cirkulæreskrivelse om fælles dataansvar. Cirkulæret tydeliggør ansvarsdelingen på persondataområdet mellem Økonomistyrelsen og de institutioner, som benytter de fællesstatslige systemer. Det er som institution vigtigt at gøre sig bekendt med cirkulæret samt nedenstående information.

Cirkulæreskrivelsen sikrer en dokumenteret og klar ansvarsdeling mellem Økonomistyrelsen og institutionerne efter databeskyttelsesforordningens artikel 26 om fælles dataansvar. Institutionerne er helt overordnet fortsat ansvarlig for de data, som de selv registrerer i systemerne, og for de processer, der ligger lokalt i institutionen.

Gå til cirkulæreskrivelse om fælles dataansvar på retsinformation.dk

Hvilke systemer er omfattet af cirkulæreskrivelsen?

Cirkulæreskrivelsen omfatter p.t. alle versioner af følgende systemer:

  • Navision Stat
  • IndFak
  • RejsUd
  • Statens Koncernsystem (SKS)
  • Statens Budgetsystem (SBS)
  • Statens Lønløsning (SLS/HR-løn/BSL/SP)
  • Statens eRekruttering
  • Campus
  • Statens HR
  • Statens BI - LDV
  • Statens BI - ISOLA
  • Finansministeriets Forhandlingsdatabase
  • ØDUP
  • Statens SSO (Single Sign-on)

Overordnet ansvarsdeling

Den overordnede ansvarsfordeling er ikke ændret med cirkulæret. Det er i øvrigt den enkelte institutions ansvar at efterleve ansvarsdelingen i cirkulæreskrivelsen og bedst muligt understøtte den registreredes rettigheder.

Det betyder at Økonomistyrelsen er ansvarlig for at:

  • Stille de fællesstatslige systemer til rådighed
  • Indgå databehandleraftaler med leverandører
  • Stå for leverandørstyring og opfølgning på revisionserklæringer
  • Sikre, at den tekniske og administrative sikkerhed for systemerne er i orden

Den enkelte institution er ligeledes ansvarlig for at:

  • Gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens anvendelse af systemerne. For eksempel vedrørende fysisk sikkerhed og egne processer
  • Føre egne fortegnelser over de af aftalen omhandlede behandlingsaktiviteter
  • Håndtere databrud, der skyldes uberettiget anvendelse af systemerne eller i forbindelse med behandlingsaktiviteten hos institutionen
  • Iagttage den registreredes rettigheder. For eksempel vedrørende oplysningspligt, indsigtsret og sletning, når det henføres til institutionens brug af systemerne

Varetagelsen af den registreredes rettigheder – oplysningspligten

Den enkelte institution er ansvarlig for egne data og ansvarlig for behandlingen af anmodninger eller henvendelser fra de registrerede.

Den enkelte institution bør sikre, at deres oplysningspligt lever op til databeskyttelsesforordningen for så vidt angår Økonomistyrelsens behandling af personoplysninger. En sådan tekst kunne for eksempel lyde: ”Økonomiske og administrative personoplysninger videregives til Økonomistyrelsen i regi af regnskabsbekendtgørelsen (BEK nr 116 af 19/02/2018) og cirkulæret om fælles dataansvar (CIS nr 9223 af 23/03/2018) med henblik på lønudbetaling, administration, økonomistyring, analyser med videre.”

Får institutionen henvendelser, som den ikke kan besvare uden Økonomistyrelsens bistand, så kan den henvende sig til Økonomistyrelsen via 

.

Håndtering af databrud

Den enkelte institution er ansvarlig for efterlevelsen af databeskyttelsesforordningens krav om anmeldelse af databrud (artikel 33), såfremt et brud skyldes uberettiget anvendelse af systemerne eller i forbindelse med behandlingsaktiviteten hos institutionen.

Den enkelte institution er derudover ansvarlig for iagttagelsen af databeskyttelsesforordningens krav vedrørende underretning til den registrerede om brud på persondatasikkerheden (artikel 34), såfremt et brud på persondatasikkerheden skyldes uberettiget anvendelse af systemerne eller i forbindelse med behandlingsaktiviteten hos institutionen.

Økonomistyrelsen vil om nødvendigt bistå institutionen med oplysninger, som er nødvendige for, at institutionen kan overholde sine forpligtelser over for den registrerede. I så fald kontaktes

.

Sker der databrud hos Økonomistyrelsen, som Økonomistyrelsen eller Datatilsynet vurderer, kan have betydning for institutionerne, sørger Økonomistyrelsen for at underrette de pågældende institutioner.

Generelt om fortegnelser under fælles dataansvar

Den enkelte institution skal føre fortegnelse over egne behandlingsaktiviteter. Dette indebærer ikke en fortegnelse over Økonomistyrelsens systemer, men de processer med persondata, som systemerne understøtter hos institutionerne.

En fortegnelse indeholder:

  • Navn og kontaktoplysninger
  • Formål med behandlingen. Økonomistyrelsen kan være behjælpelige med input til generelle formål for systemerne, som I de fleste tilfælde finder anvendelse hos institutionen
  • Kategorier af registrerede. Økonomistyrelsen kan være behjælpelig med input til faste kategorier for systemerne, som I de fleste tilfælde finder anvendelse hos institutionen
  • Kategorier af personoplysninger. Økonomistyrelsen kan være behjælpelig med input til faste kategorier for systemerne, som I de fleste tilfælde finder anvendelse hos institutionen
  • Kategorier af modtagere ved videregivelse. Økonomistyrelsen videreformidler i visse tilfælde data til andre myndigheder på primært aggregeret niveau. For eksempel til Danmarks Statistik, Udbetaling Danmark og Rigsarkivet.
  • Overførsel til tredjelande og internationale organisationer. Hvis der sker overførsel til tredjelande, så vil det fremgå for det enkelte system i servicebeskrivelsen og skal fremgå af institutionens fortegnelse.
  • Slettefrister. Sletning er som udgangspunkt bestemt af kravene for de enkelte systemer og behandlingsaktiviteter, herunder for eksempel regnskabslovgivningen, arkivlov, dokumentationsbehov og så videre.
  • Tekniske og organisatoriske foranstaltninger. Økonomistyrelsen varetager og dokumenterer egne tekniske og organisatoriske foranstaltninger. I institutionens fortegnelse beskrives alene de tekniske og organisatoriske foranstaltninger for egne processer.

Økonomistyrelsen har udarbejdet en række ”hjælpefortegnelser” for at give institutionerne nem adgang til informationer, som skal bruges til egne fortegnelser. Disse hjælpefortegnelser kan rekvireres af den enkelte institution via 

. Institutionernes bør derudover gøre sig bekendt med indholdet af Økonomistyrelsens servicebeskrivelser.

Se i øvrigt Datatilsynets vejledning om fortegnelse for nærmere information om udarbejdelsen af fortegnelser

Sikkerhed, dokumentation og tilsyn

Økonomistyrelsen er ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer.

Den enkelte institution er ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen af systemerne, herunder korrekt indsamling og registrering af oplysninger. Den enkelte institution er derudover ansvarlig for passende tekniske og organisatoriske foranstaltninger i forbindelse med egne processer og opbevaring af data udenfor systemerne.

Økonomistyrelsen og den enkelte institution dokumenterer selv egne forhold internt og i forhold til relevante revisioner og tilsyn.

Finansministeriets tilsyn med de fællesstatslige systemer

Finansministeriets vejledning om tilsynet med de fællesstatslige systemer beskriver, hvordan Finansministeriets tilsyn med Økonomistyrelsen er tilrettelagt. 

Vejledningen kan bruges til at dokumentere opgavefordelingen mellem brugerinstitutionen og Økonomistyrelsen, for eksempel hvor der er behov for at tydeliggøre Økonomistyrelsens og institutionens opgaver og ansvar ved tilrettelæggelse af kontroller, styring og opfølgning samt over for revisionen.

Vejledning om tilsynet med Økonomistyrelsens fællesstatslige systemer (pdf)