Alvorlig kritik fra Datatilsynet: Kriminalforsorgen slækkede på krav om dataansvar, oplysningspligt og indsigtsret

Illustration: Kriminalforsorgen
»Yderst bekymrende og langtfra tilfredsstillende,« lyder ordene i Datatilsynets alvorlige kritik af Kriminalforsorgen.

Kriminalforsorgen havde ikke styr på dataansvar, overholdt ikke sin oplysningspligt og slækkede på kravene for indsigtsretten til registrerede.

Det er Datatilsynets konklusioner efter et tilsyn hos Kriminalforsorgen, der fandt sted i foråret 2018. Det fremgår af en netop offentliggjort afgørelse på Datatilsynets hjemmeside.

»Datatilsynet finder samlet set anledning til at udtale alvorlig kritik af, at Direktoratet for Kriminalforsorgen ikke har efterlevet retshåndhævelseslovens krav i forhold til de ovenstående punkter,« står der i afgørelsen.

Læs også: Her har Datatilsynet gennemført tilsyn siden GDPR trådte i kraft i maj

Det er reglerne i retshåndhævelsesloven, der regulerer retshåndhævende myndigheders behandling af persondata, som Kriminalforsorgen ikke har levet op til. Loven er en slags GDPR-pendant til politi og andre retshåndhævende myndigheder.

Rodede rundt i dataansvarlige

Værst stod det tilsyneladende til med Kriminalforsorgens fordeling af dataansvarlige. Datatilsynet kunne under sit tilsyn konstatere, at Kriminalforsorgen ikke var i stand til at angive de korrekte dataansvarliges identiteter i forskellige meddelelser til de registrerede.

Faktisk havde Kriminalforsorgen stadig ikke styr på fordelingen af dataansvar i organisationen, fortalte de Datatilsynet under selve tilsynsbesøget den 4. april 2018. Det ville de dog få inden sommeren 2018, forsikrede Kriminalforsorgen.

Men i midten af oktober tog Datatilsynet igen kontakt til Kriminalforsorgen, og der var svaret det samme som i april: Der var stadig ikke taget endelig stilling til fordelingen af dataansvar.

Læs også: Datatilsynet udfordret af firedobling af antal sager efter GDPR

»Datatilsynet skal dertil bemærke, at tilsynet finder det yderst bekymrende og langt fra tilfredsstillende, at der ikke i Kriminalforsorgen på tidspunktet for tilsynsbesøget var taget endelig stilling til fordelingen af dataansvar, og at der heller ikke 6 måneder efter tilsynsbesøget er taget endelig stilling hertil på trods af, at Direktoratet for Kriminalforsorgen under tilsynsbesøget oplyste, at direktoratet forventede, at fordelingen ville være på plads før sommeren 2018,« skriver Datatilsynet i sin afgørelse.

I en mail til Computerworld har Kriminalforsorgens digitaliseringschef, Anne Birgitte Bagge Barsballe, udtalt:

»Vi har ikke været tidligt nok ude med en afklaring af dataansvar i kriminalforsorgen. Det er ikke godt nok, og det beklager vi.«

Hun understreger overfor Computerworld, at fordelingen af dataansvar i Kriminalforsorgen nu er på plads.

Kriminalforsorgen oplyste ikke de registrerede godt nok

Udover at have slækket på kravene om at have styr på dataansvar har Kriminalforsorgen heller ikke haft helt styr på deres oplysningspligt, når de har behandlet oplysninger om registrerede.

Kravene siger, at Kriminalforsorgen skulle oplyse til de registrerede, hvilket retsgrundlag deres oplysninger blev behandlet på, hvor længe oplysningerne ville blive opbevaret, og hvem de ville blive delt med.

Læs også: Datatilsynets praksis vækker undren: Behandler gamle sager efter nye regler

Men ingen af de krav levede Kriminalforsorgen op til, når de har meddelt de registrerede, at Kriminalforsorgen behandler oplysninger om dem, vurderer Datatilsynet.

Det har for eksempel ikke været tydeligt nok i meddelelserne, at Kriminalforsorgen delte oplysningerne med politiet og kommunerne, ligesom Kriminalforsorgen heller ikke har angivet en særlig tidsbegrænsning for opbevaringen af dataene.

Heller ikke når det kommer til de registreredes ret til at få indsigt i de oplysninger, som Kriminalforsorgen behandler om dem, er kravene blevet fulgt ordentligt, vurderer Datatilsynet.

Inden den 16. januar skal Kriminalforsorgen derfor aflevere en redegørelse til Datatilsynet, hvor de beskriver, hvad de siden tilsynet i foråret har gjort for at oplysningspligten og indsigtsretten nu er opfyldt.

Læs også: Backlog hos Kriminalforsorgen: 17 år gammelt it-system kan ikke følge med loven

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Chris Bagge

Så kommer det spændende spørgsmål, hvilke virkemidler har datatilsynet? Overfor private virksomheder har de med GDPR fået en meget stor økonomisk vognstang at vinke med. En vognstang der vil kunne få de fleste CxO'er til at makke ret. Hvilke virkemidler har de overfor offentlige projekter? Uddele en næse hvorefter organisationen forsætter som de plejer? Hvordan får man offentlige ledelser til at gøre noget ved det? Skal der være regler for at bonus først udbetales efter 2 år og kun hvis der ikke er kommet "lig i lasten" siden da. Skal en bonus være betinget at at der ikke kommer påbud fra Datatilsynet? Er der andre muligheder?

Nicolai Rasmussen

For nyligt, i Rusland, kollapsede en bro fyldt med mennesker ifbm et socialt arrangement. Umiddelbart efter blev direktøren fyret pga. dette. Nogle læsere på ekstrabladet kommenterede at det var tåbeligt at fyre direktøren, da direktøren jo ikke havde noget at gøre med årsagen til at broen kollapsede. Men det er jo præcist det der skal til. Det kan godt være direktøren ikke har været bevist om problemet, eller på anden vis har gjort noget, der får broen til at kollapse, MEN direktøren har ANSVARET for at folk ikke kommer til skade til det pågældende arrangement. Det er derfor klart at vedkommende har fejlet, og en fyring er helt på sin plads. Det er vel pga. ansvaret at direktører får den høje løn?! Bestyrelsen har her taget action og løftet deres eget ansvar.

I det pågældende eksempel med total rod i kriminalforsorgen, så mener jeg at man uden at blinke skulle fyre direktøren. Det er direktørens opgave at sikre at man lever op til gældende love og regler, og det har man ikke gjort i dette tilfælde. Hvis det til at starte med havde sejlet og man efterfølgende ved opfølgningen havde haft styr på det, så ville en skriftlig advarsel have været på sin plads. Årsagen til denne faste hånd, er ikke at jeg har noget i mod den pågældende direktør. Årsagen er alene, at man bør gøre klart (overfor alle), at ansvaret for enhedens compliance er entydigt placeret hos direktøren. Når man har fyret (uden eftervederlag) et par direktører eller tre, for alvorlige fejl eller almindelig slendrian, så vil alle andre direktører begynde at prioritere disse forhold. Før det sker (og det sker ikke), så ser jeg ikke at det kommer til at ændre sig væsentligt. Fratagelser af bonus er en relativ mild straf, og brug af bonus for at få folk til at udføre deres allerede betalte job er generelt tåbeligt. Bonus er et stærkt værktøj, men de færreste (herunder bestyrelser) kan gennemskue de mange og store konsekvenser af et bonusprogram.

Automatisk fyring for (større) sjusk og slendrian bør være obligatorisk. Evt. kan der være situationer hvor direktøren er ved at etablere orden efter tidligere tiders slendrian, hvor der skal gives nogle lidt videre rammer, men i udgangspunktet bør det være automatisk fyring. Det ville også have den fordel at man fik fjernet en stor del af de risikovillige direktører, der har opnået deres personlige resultater ved at påtage sig risiko for andres penge og tale sig ud af eventuelle problemer efterfølgende. Med de overoptimistiske og risikovillige direktører af vejen, vil der være bedre plads til de realistiske og dygtige direktører, der ikke løber den store risiko hele tiden.

Det reele ansvar for den slendrian vi ser i dag, er bestyrelsernes. Direktørerne er en funktion af bestyrelsernes valg.

Der mangler ikke mere lovgivning eller større strafferammer, der mangler flere dygtige og konsekvente bestyrelser. Bestyrelserne har alle de magtmidler de behøver og samfundet har mere lovgivning end godt er. Politikerne skal ikke løse bestyrelsernes problemer, det skal bestyrelserne selv klare.

NB: Ovenstående gælder både offentlige og private virksomheder - og den ene har ikke noget at lade den anden høre. Det private er ikke et hak bedre end det offentlige.

René Nielsen

I mit univers dokumenterer sagen hvorfor straf er nødvendig ved lovovertrædelser, men også at der skal udvikles en straf til netop at ramme ”det offentlige”. Der må ikke kunne spekuleres i om det ”kan betale sig at overholde loven”.

Jeg synes ikke det er interessant om hvorfor Kriminalforsorgen ikke gør noget ved sagen – for den slags fortaber sig altid i endeløse diskussioner.

Jeg kan derimod godt lide ”den russiske løsning” som en anden skribent referer til.

Hvis man tror på at lønbonus er virksomt for at øge effektiviteten blandt offentlige chefer, så må en personlig bøde til offentlige chefer også være ekstra virksomt evt. kombineret med straksafskedigelse, bortfald af ”gyldne håndtryk” mv. og en periode med ”Berufsverbot”, hvis det ulovlige forhold ville have udløst en bøde til en privat virksomhed.

Der skal med andre ord en vis kvalitet i lovovertrædelsen til, før det udløser sanktioner.

Lidt billedligt talt bør den offentlige direktør personligt indtræde som betaler af bøden.

Bjarne Nielsen

Lidt billedligt talt bør den offentlige direktør personligt indtræde som betaler af bøden.

Normalt vil man mene, at personligt ansvar er en forudsætning for personrettede sanktioner, men jeg er ikke umiddelbart uenig i, at der påhviler ledelse et særskilt ansvar af mere objektiv karakter ... vi har jo allerede begrebet "ledelsesansvar", og det kan godt være, at det skal udvides.

Finanssektorens top har jo måttet sande, at "det var ikke ulovligt" ikke længere er en ... ja, undskyld mig ... lovlig undskyldning. Der stilles videre krav til topledelse end at være villig til at gå lige til kanten og pådrage organisationen en evt. process-risiko. Nu forventes man også at forstå den forretningsmæssige betydning af ordentlighed og redelighed.

På den anden side, så er det efter sigende allerede forbundet med udfordringer at rekrutere til offentlig ledelse. Det vil ikke blive nemmere hvis man kommer til at stå direkte på mål for forsømmelser som i høj grad kan tilskrives kultur og tidligere tiders synder. Og hånden på hjertet, ville du acceptere de vilkår uden at indregne en passende risiko-præmie?

Det er ikke nemt.

René Nielsen

Og hånden på hjertet, ville du acceptere de vilkår uden at indregne en passende risiko-præmie?


Hvorfor skulle jeg det?

Sådan helt nede på gulvet, så ligestiller jeg jo blot offentlige chefer med private chefer og derfor kan jeg ikke umiddelbart se, at der skulle ”Indregnes en præmie” til den offentlige chef.

Indenfor det private anvendes der f.eks. konkurskarantæne, samt bøde og fængsel til direktører.

Prøv at søg på Google efter ”bøde AND direktør”.

Det er ikke en forudsætning for de nævnte sanktioner - at direktøren er ejer. Blot at direktøren har svigtet groft eller direkte har svindlet.

Hvis datatilsynet vurderer at direktøren for Kriminalforsorgen har svigtet groft, kan jeg ikke se at en offentlig ansat chef ikke skal have samme straf som i det private. Så bøden/straffen til direktøren for Kriminalforsorgen kommer jo ikke fra ”en klar himmel”

Jeg kan simpelthen ikke se at offentlige chefer ikke skal kunne tåle de samme straffe som i det private, når disse personer i lønspørgsmål altid henviser til lønudviklingen i det private.

Hans Nielsen

Fængselstraf til hele ledelse og alle ansvarlige i sagen, i grove eller ved gentagelse, er nok den mest efektive metode.
Evt en betinget dom, som jo også vil betyde at jobet forsvandt uden bonus, da den rene strafeatest er væk nogle år.

I tilfælde som her, og i andre ligende tilfælde som Danske Bansk hvidvaskning. Er bøde straf ikke en løsning. Det går kun ud over kunder og Aktionære. De ansvarlig har fået både sorte og hvide bonuser, og er skredet eller fyret når børder og ansvar skal deles ud.

Hvis Ledelser i Danske Bank viste de kunne står til 6-12 års fængsel, samt fulde øknomisk ansvar for et svigt i en underafdeling. Så have der nok været fuld kontrol over denne, meget få måneder efter købet.
I stedet for at slentdian, udulighed, grådighed eller rent øknomisk kreminalitet forsatte i årvis mens alle alarm lamperne lyste.

Ebbe Hansen

Omkring fyring af ledelsen i kriminalforsorgen: Det ville blot resultere i et gyldent håndtryk, det er længe siden, at en leder har måttet tage en smertefuld afsked med et lederjob.
Langt hen ad vejen står det lidt uklart, hvorfor vi har så "dyre" medarbejdere og bestyrelsesmedlemmer i organisationerne, såvel private som offentlige. For de får jo aldrig et regulært spark med andet end den gyldne støvle.
Uanset kvaliteten af de beslutninger, de træffer.

Hans Nielsen

" det er længe siden, at en leder har måttet tage en smertefuld afsked med et lederjob."

Som med læk af Panama Papier, og efterfølgede børder og fængselstraf, så kan det virke ganske preventivt.
Men som i denne og andre sager, vi skal have hele kæden med, så alle de ansvarlige, samt ledelse helt til toppen, kan blive fyret.

Det behøves ikke være på gråpapir, det kan bare som med hensyn til bonuser, stå i ens ansættelse kontrakt, at det er ud af vagten, hvis man få grove eller skærpet påtaler.

Samtidigt kan man jo også få indført, eller brugt reglene, om at man ikke må fortage ulovlig administration. Selv ikke som politikere, eller lederen som søger en god bonus, også som der for mener de står over loven.

Er helt med, at man som poltikere, ikke som standart skal stå til fængselstraf. Men bødestraf og/eller en erklæring som uværdig til at genopstille, kunne være en passende straf, hvis der er gentagene grove system fejl, i den administration som man har ansvaret for.

Chris Bagge

Det ville blot resultere i et gyldent håndtryk,


Verden er ikke sort/hvid. Det hjælper næppe noget at fyre den siddende leder, men det jeg gerne vil have er at der kommer noget ind i diverse lederes successkriterier der gør at det vi andre benævner som "sund fornuft" / "rettidig omhu" vægter kraftigere.
Eksemplet fra Mærsk med at der var bevilget penge til opdateringer af servere, men da det ikke var på de respektive lederes "score cards" så var det ikke blevet sat i gang, er et af de klareste eksempler. Et andet eksempel er, at lederne i Bane Danmark fik en stor bonus til trods for at der var et voldsomt overløb.
Som sidste eksempel kan vi se på Skat hvor der sikkert er nogle ledere der har fået nogle pæne bonusser for at implementere besparelse der nu koster samfundet et to-ciffret stigende milliard beløb der løbende stiger. Hvis bare der havde været en minimum at påvirkning af disse minstre/departementchefers løn/pension hvis deres handlinger medførte tab så havde de måske ikke opført sig (så tåbeligt) som de gjorde.

Hans Nielsen

. Hvis bare der havde været en minimum at påvirkning af disse minstre/departementchefers løn/pension hvis deres handlinger medførte tab så havde de måske ikke opført sig (så tåbeligt) som de gjorde


Her kunne mit forslag om en at man erklæret de involveret minister, uegnet og uværdigt til at stille genopstille være en mulig løsning for at stoppe gentagelser.
Resten af medløberen i ministere og SKAT burde nok været fyret, med lange karansperiode for at søge job i det offenlige igen.

Tror ikke fremadrettet der ville være så mange fejl, undladelser eller "udulighed" i "systemet", hvis man brugte pisken lidt mere end guleroden. For de ting vi som borger synes er vigtige.

At New Public Management skal læges på hylden som en stor liberal fejltagelse er en helt anden sag. Er selv liberal, og synes det lød godt da det blev indført. Men kun tåber og idioter, køre videre af den samme vej, når man bliver klogere, og indser at løsninge forslag, og teorier, ikke er er løsninger, men istedet bliver en del af problemmet.

Vi har måske glemt lidt af de gamle værdier der var i en Embedsmand i en tjenestemænds stilling, hvor lønen og efektivitet måske ikke var skyhøj, men hvor ansvaret over for jobbet, stilling og staten dog var langt højere. Samt den lange anciennitet betyd, der var erfaring og vigtigt viden, og et ansvar over for det forvaltet.

Log ind eller Opret konto for at kommentere