Databeskyttelse og informationssikkerhed

Information om forordningen

Kommunerne skal blandt andet indgå databehandleraftaler, udpege en databeskyttelsesrådgiver og føre fortegnelser. Find informationer, anbefalinger og skabeloner.

Forordningens ikrafttrædelse

I januar 2012 fremlagde EU-Kommissionen sit forslag til databeskyttelsesforordningen. Og i april 2016 blev databeskyttelsesforordningen vedtaget.

Siden 25. maj 2018 er det reglerne i databeskyttelsesforordningen suppleret med databeskyttelsesloven og følgeloven til databeskyttelsesloven, som regulerer området for behandling af personoplysninger.

Hent KL's Anbefalinger til direktionens opmærksomhedspunkter – implementering af Databeskyttelsesforordningen

Reglerne i databeskyttelsesforordningen er en udvidelse af reglerne i persondataloven. 

En væsentlig del af kommunernes implementeringsarbejde er derfor at sikre, at kommunen overholder reglerne fra persondataloven.

Databeskyttelsesloven er et supplement til databeskyttelsesforordningen og blev vedtaget af Folketinget den 17. maj 2018. 

Læs loven her.

Databehandleraftaler

Kommunerne skal opdatere alle databehandleraftaler, så de lever op til de nye krav og sikre, at der er indgået de nødvendige databehandleraftaler.

Vejledning om dataansvarlige og databehandlere

Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om, hvornår der skal indgås databehandleraftaler.

Hent vejledning om dataansvarlige og databehandler (pdf) 

Skabelon fra Datatilsynet

Datatilsynet offentliggjorde i februar 2018 en skabelon til databehandleraftaler. Skabelonen er Datatilsynets bud på, hvordan en databehandleraftale kan se ud. Kommunerne kan frit vælge om de vil anvende Datatilsynets skabelon eller KL og KOMBIT's skabelon (se nedenfor). Begge skabeloner lever op til databeskyttelsesforordningens krav til indholdet af en databehandleraftale.

Hent Datatilsynets skabelon (word).

KL og KOMBIT’s skabelon er opdateret

KL og KOMBIT offentliggjorde i april 2017 en skabelon for databehandleraftaler, som kommunerne kan bruge, når de indgår databehandleraftaler med leverandører. Datatilsynet har vurderet, at skabelonen opfylder kravene i persondataloven og databeskyttelsesforordningen.

KL og KOMBIT har pr. 29. maj 2018 fjernet de dele af teksten i skabelonen, som omhandlede kravene fra persondataloven, da persondataloven er ophævet pr. 25. maj 2018. Desuden er skabelonen konsekvensjusteret i forhold til, at databeskyttelsesforordningens regler i stedet finder anvendelse pr. 25. maj.

Efter ønske fra kommuner og leverandører er ordlyden i version 2.0 af skabelonen desuden enkelte steder justeret sådan, at ordlyden fra forordningen er genbrugt. Dette alene for at skabe større genkendelighed i teksten. Kommunerne skal således ikke ændre i de databehandleraftaler, som de har indgået med udgangspunkt i KL og KOMBIT´s skabelon af 3. april 2017 (version 1.0).

Hent KL og KOMBIT's opdaterede skabelon (word), tilhørende opdaterede kommentarnotat (pdf) og oversigt over ændringer i version 2.0 af skabelon for databehandleraftaler (pdf).

Version 2.0 af skabelonen foreligger pr. 22. juni 2018 også i en engelsk udgave. (Word)

Version 1.0 (dansk udgave og engelsk udgave) kan fortsat hentes dog kun i pdf-udgave. Kommentarnotater til version 1.0 findes her.

Databeskyttelsesrådgiver

Databeskyttelsesrådgiveren skal inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger. Og inddragelsen bør ske på øverste ledelsesmæssige niveau (fx ved deltagelse på direktions- og ledelsesmøder).

Implementér nødvendige procedurer

Rådgiveren afrapporterer direkte til kommunalbestyrelsen om kommunens overholdelse af de databeskyttelsesretlige regler. Det kan fx ske ved en årlig status, og når der opstår konkrete sager om fx sikkerhedsbrud, pressesager eller besøg fra Datatilsynet.

KL anbefaler, at kommunerne implementerer procedurer, der sikrer, at rådgiveren bliver inddraget og understøttet i afrapporteringen. 

Vejledning om databeskyttelsesrådgivere

Justitsministeriet, Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen har efter ønske fra KL udarbejdet en vejledning om den nye databeskyttelsesrådgiverfunktion.

Find vejledning om databeskyttelsesrådgivere

 

  • PDF

    Notat Databeskyttelsesforordningens regler om databeskyttelsesrådgivere

 

Konsekvensanalyser

Forordningen stiller et nyt krav om, at kommunerne i særlige situationer skal sikre sig, at der bliver udarbejdet de såkaldte konsekvensanalyser af deres databehandlinger (data protection impact assessments, DPIA'er).

Konsekvensanalyserne skal udarbejdes, når der er tale om behandlinger, som er særligt risikobetonede, og dette skal ske før, behandlingen af personoplysningerne starter.

Kravet gælder ikke eksisterende behandlinger, som er blevet anmeldt til Datatilsynet efter de nu ophævede regler i persondatalovens kapitel 12.

For nye, særligt risikobetonede behandlingsaktiviteter skal der heller ikke altid udarbejdes konsekvensanalyser. Dette er ikke tilfældet, hvis der allerede er udarbejdet en generel konsekvensanalyse i forbindelse med udarbejdelsen af den lovgivning, der ligger til grund for behandlingerne.

Flere kommuner kan gå sammen om at få udarbejdet én fælles konsekvensanalyse for et givent nyt system, fx via KOMBIT. Kommunernes leverandør skal hjælpe med at udarbejde analysen.

Vejledning om konsekvensanalyser

Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om konsekvensanalyser. Vejledningen beskriver nærmere, hvornår der skal udarbejdes konsekvensanalyser og, hvad analyserne skal indeholde:

Hent vejledning om konsekvensanalyser (pdf).

Liste over behandlingsaktiviteter, der er underlagt kravet om konsekvensanalyser

Datatilsynet har den 28. januar 2019 offentliggjort en liste over, hvilke behandlingsaktiviteter, der i hvert fald kræver, at der udarbejdes en konsekvensanalyse.

Hent Datatilsynets liste (pdf).

Listen skal læses i sammenhæng med Artikel 29-gruppens (nu Det Europæiske Databeskyttelses Råds) retningslinjer for konsekvensanalyser, WP248.

Hent WP248 her (pdf).

Økonomisk kompensation

KL og regeringen har nu indgået aftale om økonomisk kompensation til kommunerne for de nye administrative krav i reglerne om databeskyttelse.

Læs mere om den økonomiske kompensation her. 

Vejledninger

Siden 2012 har KL arbejdet intensivt – både nationalt og i EU-regi – med at sikre, at reglerne tager højde for den kommunale hverdag og for, at kommunerne får tilstrækkelig vejledning til at kunne implementere de nye regler.

Justitsministeriet og Datatilsynet har udgivet en række vejledninger på området.

Find de foreløbigt offentliggjorte vejledninger her.

Der udestår fortsat en vejledning fra Justitsministeriet og Datatilsynet om cloud-området.

Vejledningerne giver ikke svar på alle spørgsmål, og der vil derfor være en række forhold og spørgsmål, som KL ikke vil være i stand til at afklare, men som vil blive afklaret via Datatilsynets praksis i de kommende år. 

Fortegnelseskravet

Fortegnelseskravet betyder, at kommunerne skal føre dokumentation over al behandlingsaktivitet – både behandlinger af ikke-følsomme oplysninger og følsomme oplysninger 

Læs mere om fortegnelseskravet i betænkningen (s. 443-464)

Standardfortegnelser klar

For at lette kommunernes arbejde med at efterleve fortegnelseskravet har KL udarbejdet standardfortegnelser, som alle kommuner kan bruge. 

Standardfortegnelserne er udsendt til alle kommuner primo april 2018. KL har desuden udarbejdet en guide til udfyldelse af standardfortegnelserne. Det er KL's ønske, at kommunernes administrative opgave med standardfortegnelserne lettes mest muligt. 

Standardfortegnelserne er senest opdateret 12. juni 2019.

Justitsministeriet og Datatilsynet har i januar 2018 udarbejdet en vejledning om fortegnelseskravet.

Hent Justitsministeriets og Datatilsynets vejledning

  • PDF

    Rettelser til KL standardfortegnelser 1.2.pdf

  • PDF

    Guide til udfyldelse af KL's standardfortegnelser.pdf

  • DOCX

    1. Fortegnelse over behandlingsaktiviteter angående beskæftigelse.docx

  • DOCX

    2. Fortegnelse over behandlingsaktiviteter angående borgerlige forhold.docx

  • DOCX

    3. Fortegnelse over behandlingsaktiviteter angående dagtilbud og uddannelse.docx

  • DOCX

    4. Fortegnelse over behandlingsaktiviteter angående flygtninge og integration.docx

  • DOCX

    5. Fortegnelse over behandlingsaktiviteter angående infrastruktur mv.docx

  • DOCX

    6. Fortegnelse over behandlingsaktiviteter angående kultur, idræt og folkeoplysning.docx

  • DOCX

    7. Fortegnelse over behandlingsaktiviteter angående løn- og personaleadministration mv.

  • DOCX

    8. Fortegnelse over behandlingsaktiviteter angående natur- og miljøbeskyttelse.docx

  • DOCX

    9. Fortegnelse over behandlingsaktiviteter angående omsorg og sundhed.docx

  • DOCX

    10. Fortegnelse over behandlingsaktiviteter angående planlægning, byggeri og erhvervsforhold.docx

  • DOCX

    11. Fortegnelse over behandlingsaktiviteter angående regulering af private erhverv.docx

  • DOCX

    12. Fortegnelse over behandlingsaktiviteter angående kommunens styrelse og administrative systemer.docx

  • DOCX

    13. Fortegnelse over behandlingsaktiviteter angående social service mv.docx

  • DOCX

    14. Fortegnelse over behandlingsaktiviteter angående kontante ydelser.docx

  • DOCX

    15. Fortegnelse over behandlingsaktiviteter angående beskatning.docx

  • DOCX

    16. Fortegnelse over behandlingsaktiviteter angående beredskab.docx

  • DOCX

    Fortegnelse over behandlingsaktiviteter hvor kommunen er databehandler.docx