I rigsrevisorloven (lovbekendtgørelse nr. 101 af 19. januar 2012 om revisionen af statens regnskaber m.m.) er der fastsat regler om rigsrevisors adgang til oplysninger og dokumenter. Det følger heraf, at rigsrevisor – fra enhver offentlig myndighed eller institution, som Rigsrevisionen har revisionsadgang til – kan indhente alle oplysninger og dokumenter, som rigsrevisor skønner nødvendige for udførelsen af sit arbejde, og rigsrevisor kan fastsætte en frist herfor, jf. rigsrevisorlovens § 12, stk. 1. Når Rigsrevisionen indhenter personoplysninger fra statslige myndigheder, virksomheder m.m., som Rigsrevisionen har revisionsadgang til, er Rigsrevisionen dataansvarlig og dermed ansvarlig for at overholde reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
Der er ingen begrænsninger i rigsrevisors adgang til oplysninger til brug for revisionen, og rigsrevisor har således også adgang til at indhente personoplysninger. Det gælder almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold og oplysninger om cpr-nummer. Det gælder også oplysninger, som den udleverende (den reviderede) myndighed har indhentet til andre formål end revision og uanset eventuelle beskyttelseshensyn, som den udleverende myndighed har garanteret i forbindelse med indhentelsen. Som eksempel kan nævnes oplysninger, som oprindeligt er videregivet til den udleverende myndighed i medfør af bekendtgørelse om videregivelse af personoplysninger i statistisk eller videnskabeligt øjemed. Også i sådanne tilfælde vil den udleverende/reviderede myndighed have pligt til at udlevere oplysningerne til Rigsrevisionen i medfør af rigsrevisorlovens § 12. Rigsrevisionens adgang til oplysninger gælder også de fællesstatslige it-systemer. For at skabe transparens er der udarbejdet en aftale mellem Rigsrevisionen og Økonomistyrelsen herom ("Generel servicebeskrivelse for Økonomistyrelsens systemer"). Det følger af aftalen, at medarbejdere fra Rigsrevisionen, som har et tjenstligt behov, kan få adgang til de statslige institutioners data i de fællesstatslige it-systemer via Økonomistyrelsen uden forudgående kontakt til den institution, hvis data adgangen måtte omhandle. Indhentelse og behandling sker efter databeskyttelsesforordningens (2016/679/EU) artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra g, og artikel 10 samt efter databeskyttelseslovens § 8 og § 11.
Rigsrevisionen har i forbindelse med revisionsopgaven adgang til en lang række personoplysninger. Rigsrevisionen har derfor også stort fokus på at sikre, at de oplysninger, Rigsrevisionen indhenter, er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (”dataminimering”), jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c. Rigsrevisionen vurderer og dokumenterer konkret behovet for at indhente personhenførbare oplysninger. Rigsrevisionen vurderer også konkret, om – og hvis ja, hvordan – oplysningspligten til de registrerede personer skal iagttages.
Rigsrevisionen indhenter som udgangspunkt oplysningerne til opgaver med revision fra de reviderede myndigheder, virksomheder mv. og ikke direkte fra eventuelle registrerede. I mange tilfælde vil undtagelsesbestemmelsen om uforholdsmæssig stor indsats i databeskyttelsesforordningens artikel 14, stk. 5, litra b, finde anvendelse. Det skyldes flere forhold, bl.a. at opgaver med revision er lovbundne, at Rigsrevisionen ikke ”ejer” personoplysningerne, men alene modtager en kopi fra de reviderede, og at revisionen ikke retter sig mod enkelte personer, men mod myndigheden. Endvidere vil der ofte være tale om oplysninger om mange registrerede, og Rigsrevisionen vil ofte ikke være i besiddelse af tilstrækkelige oplysninger til at kontakte de registrerede, ligesom data ofte vil være af ældre dato. Rigsrevisionen anvender bl.a. kryptering, adgangsstyring og -begrænsning til sager samt pseudonymisering som tekniske foranstaltninger til beskyttelse af personoplysninger.
Rigsrevisionen skal opfordre reviderede myndigheder, institutioner, virksomheder mv. til at overveje, om det vil være relevant at gøre registrerede personer, herunder ansatte og borgere, opmærksom på denne pligtudlevering til Rigsrevisionen.
Rigsrevisionen sletter løbende og senest 5 år efter, at sagen er afsluttet, dokumenter og oplysninger, herunder personoplysninger, fra Outlook og vores netværksdrev mv., når formålet med behandlingen ikke længere er til stede, jf. princippet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e.
Rigsrevisionen registrerer materiale, herunder personoplysninger, i vores elektroniske journal- og dokumentationssystem for at overholde kravene til journalisering og dokumentation. En kopi af oplysningerne vil blive overført til opbevaring i Rigsarkivet efter reglerne i arkivlovgivningen. Rigsrevisionen vil i en periode efter overførsel til Rigsarkivet fortsat have adgang til at søge oplysningerne frem i disse systemer.
Rigsrevisionens medarbejdere reviderer på vegne af rigsrevisor og står alene til ansvar over for rigsrevisor. Rigsrevisionen indestår for, at Rigsrevisionens medarbejdere, som har adgang til systemer hos statslige myndigheder, virksomheder m.m., har et relevant behov i forhold til den konkrete opgave. Myndigheden, virksomheden mv. skal således ikke føre kontrol i forhold til Rigsrevisionens medarbejdere.
Rigsrevisionens medarbejdere kan ikke forpligte sig eller Rigsrevisionen ved underskrift af fortrolighedserklæringer e.l. Der skal heller ikke udarbejdes en databehandleraftale til brug for Rigsrevisionens indhentning af oplysninger og dokumenter, da Rigsrevisionen er selvstændig dataansvarlig for oplysningerne efter rigsrevisorloven og anden særlovgivning. Rigsrevisionen indestår dermed også for it-sikkerheden ved behandlingen af personoplysninger og udleverer ikke yderligere informationer herom af hensyn til sikkerheden i vores systemer.
I de få tilfælde, hvor Rigsrevisionen i forbindelse med større undersøgelser anvender eksterne eksperter til at behandle personoplysninger på vegne af og efter instruks fra Rigsrevisionen, vil der blive indgået en databehandleraftale i overensstemmelse med reglerne i databeskyttelsesforordningen.
Printvenlig version (PDF)