Datatilsynet udførte sidste år det laveste antal tilsyn i 15 år

Illustration: Bigstock
Datatilsynet skal som tilsynsførende myndighed føre tilsyn med myndigheder og private. Men ifølge loven er der ikke nogen nedre grænse for, hvor mange tilsyn, de skal føre. Datatilsynet siger selv, at det handler om indkomne opgaver og mangel på ressourcer.

Sidste år førte Datatilsynet 51 tilsyn, hvilket er det laveste antal siden 2000, viser en ny årsrapport fra Datatilsynet. Faldet skal ses i lyset af, at tilsynet meget ofte finder overtrædelser af persondataloven i deres tilsyn.

Illustration: Screendump fra Datatilsynets årsrapport for 2016

Version2 har har omtalt flere af de kritikpunkter, som Datatilsynet er kommet med efter tilsyn:

For eksempel kritikken af flere danske kommuner, hvor omgangen med persondata er lidt for letfældig, af forskere, der ikke sørger for at beskytte følsomme data godt nok samt af blandt andet Region Hovedstaden for manglende efterlevelse af krav om en årlig gennemgang af egne sikkerhedsregler.

I IT-Politisk Forening er formand Jesper Lund ikke tilfreds med den faldende tilsynsaktivitet:

»Det er helt åbenlyst, at Datatilsynet mangler ressourcer. De finder jo noget stort hver gang, der gennemføres tilsyn. Behovet for tilsyn er større end nogensinde, dels fordi der bliver behandlet flere persondata end nogensinde, der er flere it-systemer end nogensinde der behandler persondata – og endelig vælter cloudbølgen ind over kommuner, hvilket også har øget behovet for tilsyn,« siger Jesper Lund.

Når Datatilsynet stort set altid bliver bekræftet i, at der ligger brud på persondataloven de steder, de fører tilsyn, har det også til dels noget at gøre med, at de er dygtige til at gå efter steder, de på forhånd ved har udfordringer.

Læs også: Læge lækker patientnavne og diagnoser i desperation over mangelfuld it-sikkerhed

Det kan være i forbindelse med andre sager, at Datatilsynet er blevet opmærksomme på, at der har manglet databehandleraftaler, eller at der er ikke ført tilsyn med databehandlerne.

Datatilsynets mistanke bliver vakt, enten fordi der har været klagesager, tips fra borgere eller sager i pressen, fortæller konstitueret kontorchef i Datatilsynet Jesper Husmer Vang.

»Hvis vi så kan se en tendens til nogle fejl, der går igen, for eksempel hos kommuner eller andre, vil det typisk være noget, vi kan sige, vi tager op, og så stiller vi nogle spørgsmål til det. Vi ved som regel godt, at der er noget, der halter, og det bliver vi så bekræftet i.«

Illustration: Screendump fra Datatilsynets årsrapport for 2016

Store opgaver tager ressourcerne fra tilsyn

Databeskyttelsesforordningen, som har været under udarbejdelse siden april sidste år og offentliggjort for nylig, tog meget af Datatilsynets ressourcer, fortæller Jesper Husmer Vang.

Læs også: Ny persondataforordning: Se og Hør-sag kan åbne for mere magt til Datatilsynet

»Vi kan ikke både foretage 200 tilsyn og så samtidig ordne alt det andet, vi skal. Vi fik en ekstra opgave med betænkningsarbejdet til Databeskyttelsesforordningen,« siger han.

Ville gerne føre flere tilsyn

Version2 har også tidligere omtalt, at Datatilsynet fik fået beskåret midlerne på Finansloven i 2016 med 1,8 procent.

Læs også: Finanslov 2016: Datatilsynet bliver skåret ned igen

Og den bemanding, der er nu, sætter en naturlig begrænsning i forhold til, hvor meget Datatilsynet kan nå at gøre på tilsynsområdet, påpeger Jesper Husmer Vang. Tilsynet har nemlig en række bundne opgaver såsom høringssvar til lovforslag og behandling af klagesager samt anmeldelser.

Med det der er til overs, prøver de at foretage så mange tilsyn som muligt, samt at målrette tilsynene, så de tager fat på de områder, hvor de kan se, der er nogle udfordringer. Lovgivningsmæssigt er det forudsat, at Datatilsynet skal føre tilsyn, fordi de er en tilsynsmyndighed, men der er ikke sat en nedre grænse for, hvor mange tilsyn Datatilsynet skal føre.

»Det, man kan sige, er, at hvis politikerne gerne vil have, at vi skal føre flere tilsyn, så må de også sige, hvad vi ikke skal - eller øge vores bevilling. Det skal ikke være nogen hemmelighed, at vi godt kunne tænke os at lave flere tilsyn, end vi gør i dag,« siger Jesper Husmer Vang.

Læs også: Region Hovedstaden lever ikke op til krav om beskyttelse af persondata

Håber på fokus hos de enkelte gennem kritikker

Datatilsynet forsøger desuden at tilrettelægge deres tilsyn på en måde, så de via deres udtalelser kan gøre lignende institutioner opmærksomme på, hvad der tilsyneladende er generelle problemer. For eksempel håber de på, at hvis de gennem tilsyn af 12 kommuner udtaler nogenlunde den samme kritik, så vil de resterende af landets kommuner bliver opmærksomme på problemstillingen.

»På den måde højner vi datasikkerheden den vej rundt, selv om vi ikke kommer ud til 98 kommuner på en gang,« siger Jesper Husmer Vang.

Læs også: Regionerne benytter risikabelt meget forældet software

Det næste, som Datatilsynet vil have fokus på i efteråret, er oplysningspligt i henhold til persondatalovens paragraf 28 og 29, der omhandler, at hvis der indsamles oplysninger om personer hos myndigheder eller private, har de pligt til at oplyse om hvad, hvorfor det indsamles samt til hvilke formål.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Det er jo samme billede som i Skat, hvor man stadig - selv efter de seneste års kæmpeskandaler - ikke vil afsætte tilstrækkelige midler til ordentlig kontrol. Kun ganske få procent tjekkes, mens milliarderne potentielt stadig fosser ud.

I går kom det frem, at en medarbejder i Skat faktisk har modtaget klækkelig bestikkelse for at lade uberettigede refusionskrav i millionklassen slippe igennem. Småpenge i forhold til de mange manglende milliarder i Skat - men en bekræftelse for alle os mange, der har ment, at der må stikke noget under, når det kunne gå så galt, som det er gået. Nu mangler vi så bare, at resten bliver afsløret - men er der ressourcer til det? Næppe.

Og hvorfor er denne korruptionssag noget, som TV2 har skullet "afsløre"? Hvorfor er det ikke simpelthen blevet offentliggjort? Hvorfor har det ikke straks afstedkommet ramaskrig på Christiansborg, og kraftig øgning af Skats kontroller?

Sagen viser, at vi ikke kan stole på, at diverse tilsyn (miljø, fødevarer, lægemidler etc. etc.)overhovedet magter de områder, de skal føre tilsynet med. Og det gælder jo tydeligvis også for Datatilsynet. Hvad ville der mon blive afdækket af ulovligheder på det område, hvis tilsynet havde tilstrækkelige muskler? Hvor meget kontrol er der reelt med eks. Sundhedsplatformens datahåndtering og aftaler med diverse dataaktører?

Man kan nærmest få indtryk af, at jo mere der er at komme efter på et eller andet område, jo mere udsultes kontrollen på området ( Dette inkluderer også den demokratiske kontrol fra medier og borgere, som Mørklægningsloven gør sit bedste for at spænde ben for).

Hvorfor? Det er svært at frigøre sig fra den mistanke, at der er rigtigt mange, der har behov for at skjule rigtigt meget. Hvis Datatilsynet faktisk fik muskler til at føre rimelig kontrol med udviklingen og tingenes tilstand på dataområdet - kunne det mon så spænde ben for nogle af de eksport- og forskningseventyr, som nogen ser for sig, når de hører ordet "sundhedsdata"?

  • 5
  • 0
Jesper Hansen

Var det mon en idé at pålægge virksomheder selv at dokumentere en uvildig regelmæssig gennemgang af forholdene, såfremt de besidder persondata? Eksempelvis af en revisionsvirksomhed eller intern systemrevision eller andre uvildige instanser.

I så fald ville graden af gennemgang kunne bringes til at hænge bedre sammen med nødvendigheden heraf. Altså, hvis forholdene er dårlige, ville der blive brugt mange ressourcer på gennemgang og rapportering af utilstrækkelig styring (på virksomhedernes egen bekostning), mens hvis alt er i orden, bør det være hurtigere og mindre ressourcekrævende at fastslå compliance, hvilket ligeledes gør gennemgangen billigere for virksomheden.

I modsætning til nu, hvor det formentlig er Datatilsynets bevilling på finansloven, der afgør, hvor mange ressourcer, der bruges på gennemgang, og hvor indsatsen formentlig rammer ret vilkårligt.

Datatilsynets formentlig konstante bemanding kunne så bruge tiden på at gennemgå indleveret rapportering fra de forskellige virksomheder, og udstede eventuelle sanktioner/bøder.

  • 2
  • 0
Knud Jensen

Taget i betragtning af hvor meget af vores data som er blevet digitaliseret, så er et 1 tilsyn om ugen da helt ude i skoven.

Selv hvis det blev forøget til 100 om ugen vil jeg mene man kan argumentere for at det er i underkanten.

  • 2
  • 0
Log ind eller Opret konto for at kommentere