[Typo3-UG Denmark] typegodkendelse+datatilsynet+typo3

[Dycon - Lars Dyhr]

Hej Troels, Sune, m.fl.

Jeg har tidligere været i korrespondance med henholdsvis Datatilsynet og
Statens Arkiver, med henblik på at få præciseret, hvad der skal til for at
opfylde lovens krav med hensyn til behandling og arkivering af persondata.

Konklusionen på denne korrespondance er sammenfattet herunder.

Datatilsynet
Datatilsynet har blandt andet til opgave at påse, at en behandling af
personoplysninger finder sted i overensstemmelse med loven (Lov om
behandling af personoplysninger
http://www.datatilsynet.dk/lovgivning/personoplysninger/indhold.asp).

Offentlige myndigheder skal ansøge Datatilsynet om tilladelse til at
behandle personoplysninger. Det er den dataansvarlige myndigheds (Kommunens)
opgave at sikre, at denne har tilladelse til at foretage de behandlinger,som
de foretager i forbindelse med udførelsen af myndighedens opgaver. Oftest
vil "behandlinger" som foretages i et nyt Typo3 system ikke være en
udvidelse i forhold til tidligere udførte behandlinger, og der vil ikke
grund til at opdatere kommunens tilladelse blot som følge af, at
de tager Typo3 i brug (til at udføre de opgaver de altid har udført).

At foretage behandlinger af personoplysninger i et IT-system i forhold til
et papirbaseret system, er i denne relation ligeværdige. At foretage de
samme registreringer og behandlinger af de samme afdelinger og mennesker i
et IT-system som tidligere foregik på papir giver således ikke i sig selv
anledning til at opdatere en eksisterende tilladelse hos Datatilsynet.
Eksempelvis kommunerne bør have en generel tilladelse beregnet for hver
forvaltning, der tillader denne at foretage behandlinger af oplysninger af
personfølsom karakter. Der skal således ikke foretages en anmeldelse til
Datatilsynet for at kommunerne må benytte sig af Typo3 til at udføre disse.

Hvis en Typo3 løsning skal opfylde lovens krav i forhold til
sikkerhedsmæssig korrekt håndtering af personfølsomme oplysninger ved brug
af elektroniske systemer skal man følge anbefalingerne i "Bekendtgørelse om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som
behandles for den offentlige forvaltning" Bekendtgørelse nr. 528 af
15/06/2000 se http://www.retsinfo.dk/delfin/html/b2000/0052805.htm). Hertil
kan nævnes at en væsentlig del af disse krav er møntet på en række række
organisatoriske tiltag som bør opfyldes, eksempelvis i forbindelse med
håndtering og autorisation af adgangskoder, m.m. De tekniske lovkrav er
primært forbundet med:
- at afvikle systemet over en "stærkt" krypteret forbindelse (pt. 128 bit
SSL som minimum) opfylder lovens krav i.f.t. kommunikation.
- at data fra systemet altid bliver opbevaret sikkert i et lokale hvortil
kun autoriseret personale kan få adgang.
- at der bliver ført en ansvarsfuld back-up af data, for at forhindre
datatab.
Kravene er (med vilje) ikke specielt detaljerede på det tekniske plan, idet
man ikke ønsker at skulle opdatere de tekniske krav hvert år.


Statens Arkiver
Statens arkiver har til opgave at bevare oplysninger fra statslige
intitutioner når der ikke længere er administrativt behov for dem i disse
instanser.

Kommunerne må sædvanligvis højst bevare data fra inaktive/"slettede" sager i
fem år, hvorefter data skal tilintetgøres. Man "tilintetgør" dem
traditionelt ved at overføre papirerne til et offentligt arkiv.
Kommunerne kan benytte sig af Statens Arkiver men opretter for det meste
deres egne (papir-)arkiver.
(Se evt. http://www.sa.dk/sa/statamtkom/vejledninger/bk_kommune.pdf).

Den datastruktur som Statens Arkiver anbefaler som grundlag for at foretage
en elektronisk afleveringsversion af uddateret data er primært forbundet med
at have data i en rimeligt normaliseret relationel DB (hvilket Typo3
selvfølgelig også ligger op til).
Derudover kan man på SA's hjemmeside finde en god beskrivelse af, hvordan
data skal lagres, beskrives og ordnes for at blive accepteret som en
elektronisk aflevering (disse krav er nyligt blevet opdateret, men mere
information kan findes på http://www.sa.dk).

Praksis i kommunerne er dog som sagt, at de selv står for arkivering, og der
vil derfor sjældent være grund til at foretage afleveringer til Statens
Arkiver når man beskæftiger sig med kommuner.

Min konklusion er i øvrigt at Typo3 ikke skal eller kan typegodkendes ved
datatilsynet (det er næsten kun de lovpligtige IT-systemer fra KMD m.v. som
formodes anvendt i næsten alle kommuner som man anbefaler en
typegodkendelse).
Der kan selvfølgelig være nogle specialudviklede Typo3 systemer som
håndterer (personfølsomme-)data på en måde der nødvendiggør en anmeldelse og
en tilladelse fra datatilsynet (som kommunen så skal indhente). Viser det
sig at denne applikation bliver de facto standard i en masse instanser vil
man nok have fordel af en typegodkendelse (der kan spare andre kommuner for
at ansøge om at få lov til at foretage de samme behandlinger). Typo3 er dog
ikke så som jeg ser det, omfattet af regler der gør at en offentlig instans
skal have tilladelse til at bruge det. Der kan dog være Typo3-baserede
systemer, som måske skulle have deres kunder til at få godkendt de
behandlinger der foretages i deres systemer (måske Tabulex). Men som sagt er
det kommunen der har det overordnede ansvar for at have deres tilladelser i
orden. Som systemleverandør kan man blot hjælpe kommunen med det (hvilket de
ofte vil have brug for).

Dette var blot en opsummering på status som jeg indhentede den sidste sommer
(primært vedr. kommunerne). Jeg undskylder den lange mail, men håber, at det
kunne bidrage lidt til emnet.

Med venlig hilsen
Lars Dyhr