Databeskyttelseserklæring

I denne erklæring beskriver Rigsrevisionen, hvordan vi behandler og beskytter personoplysninger som led i vores arbejde med revision, herunder i forbindelse med anmodning om og indsamling af data og oplysninger, analyse af indsamlede data og oplysninger samt rapportering om resultaterne af vores arbejde. 

Hvem er ansvarlig for håndteringen af personoplysninger?

Rigsrevisionen er dataansvarlig for behandlingen af personoplysninger til vores opgaver med revision.

Rigsrevisionens kontaktoplysninger er: 

Rigsrevisionen
Landgreven 4
1301 København K
E-mail: info@rigsrevisionen.dk
Tlf.: 33 92 84 00
www.rigsrevisionen.dk 

Hvis du har spørgsmål til Rigsrevisionens behandling af personoplysninger, kan du kontakte vores databeskyttelsesrådgiver Britt Scherfig:

E-mail: dpo@rigsrevisionen.dk
Telefon: 33 92 84 26

Hvis din e-mail indeholder følsomme eller fortrolige oplysninger, bør du sende e-mailen krypteret. Borgere, virksomheder mv. kan via Digital Post (NgDP) sende e-mails på op til 90 MB til Rigsrevisionen.

Hvilke regler gælder for anvendelsen af personoplysninger?

Retsgrundlaget for Rigsrevisionens behandlingsaktiviteter er:

• databeskyttelsesforordningens artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra g, og artikel 10 samt databeskyttelseslovens § 11
• rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012 om revisionen af statens regnskaber m.m.
• forvaltningsloven og offentlighedsloven, jf. instruks for rigsrevisor
• arkivloven, jf. rigsrevisorloven.

Rigsrevisionen har efter rigsrevisorloven følgende opgaver: 

• Revision af statsregnskabet (Sådan reviderer vi statsregnskabet).
• Revision af andre årsregnskaber. Dette er årsregnskaber for offentlige virksomheder mv., som ministerierne har ansvaret for, fordi de er oprettet eller finansieret ved lov, eller fordi staten indgår som ejer (Revision af andre årsregnskaber).
• Større undersøgelser: Dette er undersøgelser af afgrænsede emner i de reviderede statsinstitutioner og offentlige virksomheder mv. eller i regioner, statsejede aktieselskaber, Udbetaling Danmark, statsfinansierede ordninger i kommunerne eller institutioner, foreninger mv., der modtager statstilskud (Sådan laver vi større undersøgelser). 

Der er desuden enkelte revisionsopgaver, der har et andet grundlag end rigsrevisorloven. 

I forlængelse af revisionen af statsregnskabet og andre årsregnskaber kan Rigsrevisionen desuden udføre revisioner hos statslige modtagere af EU-tilskud for at afgive revisionserklæringer til de EU-myndigheder, der yder tilskuddet.  

Hvilke oplysninger har Rigsrevisionen adgang til?

Rigsrevisorlovens § 12 giver Rigsrevisionen adgang til enhver oplysning, som rigsrevisor vurderer er af betydning for udførelsen af Rigsrevisionens opgaver. Adgangen til oplysningerne gælder i forhold til myndigheder, institutioner, virksomheder mv., hvor Rigsrevisionen har revisionsansvar eller adgang til at foretage større undersøgelser. 

Der er ingen begrænsninger i rigsrevisors adgang til oplysninger, og rigsrevisor har således også adgang til at indhente personoplysninger. Det gælder almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold og oplysninger om cpr-nummer. Den registrerede er dog ikke i sig selv genstand for revision, da det alene er myndighedernes og virksomhedernes overordnede opgavevaretagelse, der er genstand for revisionen. Rigsrevisionen foretager således ikke sagsbehandling i forhold til den registrerede, men revision af myndighedens forvaltning. 

Det afhænger af den konkrete opgave, hvilke oplysninger (herunder personoplysninger) Rigsrevisionen indhenter. Nedenfor angives typiske personoplysninger: 

• identifikationsoplysninger (fx navn, organisation, stilling, e-mailadresse, telefonnummer og i nogle tilfælde cpr-nummer) samt underskrifter på deltagerlister fra fysiske møder, regnskaber mv.
• oplysninger og svar på spørgsmål om løn, pension, ansættelsesforhold, tilskud mv.
• oplysninger om jobfunktioner, systemadgangsrettigheder o.l.
• oplysninger om borgeres og virksomheders sagsforløb hos en myndighed, fx om uddannelse, patientrettigheder, lovovertrædelser o.l.
• oplysninger, som en myndighed ligger inde med om borgere og virksomheder, som led i deres opgavevaretagelse
• andre personoplysninger i oplysninger/dokumenter, som en revideret har givet Rigsrevisionen. 

Rigsrevisionen skal minimere omfanget af de personoplysninger, som vi indhenter. Gennemgang af de relevante oplysninger kan derfor ske via en digital adgang eller fysisk hos de reviderede. Som led i arbejdet har vi dog også ofte brug for en elektronisk eller fysisk kopi eller brug for at lave et dataudtræk af oplysningerne. I dialog med de reviderede søger vi herudover at få pseudonymiseret eller slettet personoplysninger, som ikke er nødvendige for vores opgaver. 

Kategorier af registrerede

Personoplysningerne i de relevante offentlige institutioner og virksomheder mv. kan vedrøre følgende registrerede: 

• ansatte
• leverandører og kunder
• borgere og virksomheder, som har betalt gebyr, har udestående restancer, modtager offentlige ydelser, tilskud mv.
• borgere og virksomheder, som har fået behandlet en sag eller gennemgået et sagsforløb, som falder inden for emnet for en større undersøgelse. 

Kilder til Rigsrevisionens revision, herunder personoplysninger

Rigsrevisionen indhenter oplysninger fra den myndighed, institution, virksomhed mv., som Rigsrevisionen reviderer, og ikke direkte fra ansatte, borgere, leverandører mv. (den registrerede), jf. rigsrevisorloven. De personoplysninger, vi modtager, leveres således af en anden dataansvarlig, og den dataansvarlige har derfor allerede behandlet personoplysningerne til egne formål. Hvis man som virksomhed eller borger har afgivet personoplysninger til en myndighed, institution o.l. i forbindelse med behandlingen af en sag, køb eller salg, modtagelse af løn og tilskud og opkrævning af gebyr, har Rigsrevisionen derfor også adgang til oplysningerne, hvis det er relevant for vores opgave. Rigsrevisionen har desuden adgang til de oplysninger, som de reviderede har indhentet fra andre myndigheder. Nogle af oplysningerne findes desuden hos Statens Administration, der varetager en række regnskabsmæssige opgaver for alle ministerier. Herudover registrerer institutionerne oplysninger om egne ansatte.

Hvis en håndværker fx har udført en arbejdsopgave for en styrelse, kan der være oplysninger om firmaet (CVR-nummer og ejeroplysninger mv. fra CVR-registret), håndværkeren (fx navn), og hvilke ydelser håndværkeren har leveret hvor (fx adresse) og hvornår (fx dato). Der kan også være oplysninger om, hvilke medarbejdere der har indgået og godkendt købsaftalen, godkendt leverancen, godkendt, at fakturaen anvises til betaling, samt godkendt betalingen og registreret udgiften i regnskabet. For Rigsrevisionen kan oplysningerne have betydning for at kunne efterprøve, om udgiften har været afholdt, om reglerne for indkøb er overholdt, og om processerne understøtter, at opgaverne er udført så billigt som muligt i den fornødne kvalitet. 

Rigsrevisionens behandling af de registreredes oplysninger sker gennem statens it-systemer eller ved, at Rigsrevisionen indhenter oplysningerne fra myndighederne. Nogle institutioner har særlige systemløsninger, der betyder, at Rigsrevisionen kun kan få adgang til regnskabsoplysningerne på stedet eller ved, at institutionen overfører relevante dataudtræk til Rigsrevisionen. Ministerierne og institutionerne anvender desuden faglige sagsbehandlingssystemer, når de træffer afgørelser om tilskud og gebyrer mv. Her vil Rigsrevisionens behandling af oplysninger kunne ske via den almindelige brugeradgang, som institutionens egne ansatte benytter i sagsbehandlingen. Du kan læse mere om statens generelle it-løsninger og om Rigsrevisionens adgang hertil på Økonomistyrelsens hjemmeside. 

Nogle af opgaverne løses i et samarbejde med en godkendt revisor (privat revisionsfirma). Rigsrevisionen kan i den forbindelse gennemgå de oplysninger, som institutionens revisor har indhentet fra institutionen. Ud over de oplysninger, som institutionen selv har registreret, kan der i enkelte tilfælde være tale om oplysninger, som er indhentet fra anden side, fx fra institutionens bank. 

Hvad er formålet med Rigsrevisionens behandling af personoplysninger?

Revisionen af regnskaber og behandlingen af oplysninger, herunder personoplysninger, har 3 formål: 

• For det første skal vi opnå sikkerhed for, at oplysningerne i regnskaberne er rigtige, og at bevillingerne er overholdt.
• For det andet skal vi efterprøve, om dispositionerne (aftaler og afgørelser) er i overensstemmelse med de gældende regler.
• For det tredje skal vi vurdere, om der er taget skyldige økonomiske hensyn ved forvaltningen af de midler og driften af de virksomheder, der er omfattet af regnskabet. 

Større undersøgelser skal især sikre en mere vidtgående efterprøvelse af lovmæssighed, sparsommelighed, produktivitet og effektivitet på udvalgte områder. Se emnerne for igangværende undersøgelser her.

Hvor længe opbevarer vi personoplysninger?

Rigsrevisionen er forpligtet til at dokumentere revisionsopgaven, herunder journalisere i henhold til offentlighedslovens bestemmelser. Rigsrevisionen opbevarer oplysningerne, så længe det er nødvendigt til disse formål. 

Modtagere af personoplysninger

Rigsrevisionen videregiver kun personoplysninger til tredjemand, hvis vi er forpligtede til det, eller det i øvrigt er nødvendigt for at udføre de opgaver, som vi varetager. 

Statsrevisorerne
Rigsrevisionen reviderer på vegne af Folketinget, og rigsrevisor afgiver beretninger og notater til Statsrevisorerne, jf. rigsrevisorloven. Beretninger og notater offentliggøres på Statsrevisorernes og Rigsrevisionens hjemmesider. Beretninger og notater indeholder normalt ikke personoplysninger, da vores revisioner ikke tager sigte på at vurdere enkeltpersoners ansvar.  

Medrevisor
Eventuelle medrevisorer kan få adgang til vores arbejdspapirer, herunder eventuelle personoplysninger, som vi har indhentet i forbindelse med revisionen. 

Rigsarkivet
Rigsrevisionen afleverer journaliserede oplysninger til Rigsarkivet i overensstemmelse med arkivlovens regler. 

Review af Rigsrevisionen
Rigsrevisionen bliver lejlighedsvis selv evalueret og vurderet af revisorer fra andre rigsrevisioner. Disse kan i den forbindelse få adgang til personoplysninger, som Rigsrevisionen har indhentet. Rigsrevisionen sikrer i sådanne tilfælde, at de pågældende er pålagt at behandle alle oplysninger fortroligt.  

Eksterne eksperter og leverandører
Rigsrevisionen anvender i visse tilfælde eksterne eksperter – typisk forskere o.l. – til at behandle personoplysninger på vegne af og efter instruks fra Rigsrevisionen. Rigsrevisionen vil i givet fald udarbejde en databehandleraftale efter reglerne i databeskyttelsesforordningen. Der kan også være tale om, at eksterne leverandører, fx i forbindelse med it-support, har adgang til Rigsrevisionens data. De pågældende vil i givet fald være pålagt tavshedspligt. 

Sikkerhedsforanstaltninger

Rigsrevisionen har etableret en række tekniske og organisatoriske foranstaltninger til beskyttelse af revisionsoplysninger, herunder i forhold til tilgængelighed, integritet og fortrolighed. Det omfatter bl.a.:

• it-sikkerhed, fysisk sikkerhed og driftsmæssig sikkerhed
• retningslinjer for indsamling, opbevaring, transmission og anvendelse af data
• retningslinjer for håndtering af fortrolige og følsomme oplysninger
• håndtering af informationssikkerhedshændelser og procedurer for håndtering af brud på sikkerheden vedrørende personoplysninger. 

Ansatte i Rigsrevisionen er endvidere underlagt en lovbestemt tavshedspligt.

Oplysningspligt

Rigsrevisionen vurderer konkret, om oplysningspligten til de registrerede personer efter databeskyttelsesforordningens artikel 14 skal iagttages. I mange tilfælde vil undtagelsesbestemmelsen til oplysningspligten om ”umulig” eller ”uforholdsmæssigt stor indsats” i databeskyttelsesforordningens artikel 14, stk. 5, litra b, finde anvendelse. 

Dine rettigheder som registreret

Databeskyttelsesforordningen og databeskyttelsesloven giver den registrerede en række rettigheder, når Rigsrevisionen som offentlig myndighed behandler personoplysninger, herunder ret til indsigt, ret til at bede om berigtigelse, sletning mv. Læs mere om de registreredes rettigheder på Datatilsynets hjemmeside.

Hvis man vil gøre brug af sine rettigheder, skal man kontakte Rigsrevisionen. Se under "Hvem er ansvarlig for håndteringen af personoplysninger?". Rigsrevisionen har pligt til at svare på sådanne henvendelser.

Som registreret har man også mulighed for at klage til Datatilsynet over Rigsrevisionens behandling af oplysninger. Se mere om klageadgangen og kontaktoplysninger på Datatilsynets hjemmeside.