Datatilsynet undersøger kommuners tilsyn med personoplysninger

To kommuners manglende tilsyn med borgernes personfølsomme oplysninger bliver nu undersøgt nærmere. Flere inspektioner kan være på vej.

Glostrup og Brøndby kommuner har fået en bestemt besked fra Datatilsynet: Redegør for, hvordan I holder tilsyn med borgernes personfølsomme oplysninger.

Datatilsynets henvendelse kommer, efter at Version2 afslørede, at begge kommuner overtræder persondataloven ved ikke at indgå databehandleraftaler og kræve it-revision af sikkerheden hos en række private firmaer, der samarbejder med jobcentrene.

Læs også: Kommuner bryder loven: Intet tilsyn med borgeres personfølsomme oplysninger

Disse eksterne leverandører laver specialiserede forløb til borgere i aktivering og har derfor adgang til borgernes personfølsomme oplysninger. Når kommunerne ikke holder tilstrækkeligt tilsyn med leverandørerne, kan de i princippet heller ikke vide, om borgernes oplysninger bliver behandlet sikkert.

»Hvis kommunerne vil give private virksomheder adgang til oplysninger om borgerne, så er de nødt til at have et setup, der sikrer, at oplysningerne ikke bliver prisgivet,« siger kontorchef i Datatilsynet Lena Andersen til Version2.

Det ønskede tweet er blevet slettet eller kunne ikke findes.

Flere inspektioner kan være på vej

Det er sandsynligt, at langt flere kommuner ikke fører tilstrækkelig kontrol med it-sikkerheden hos de private firmaer, der har adgang til borgernes personfølsomme oplysninger.

Version2’s afsløring baserer sig kun på en stikprøve, hvor syv kommuner svarede. Og der vil sandsynligvis være flere tilfælde blandt andre kommuner ifølge formanden for Foreningen af Kommunale it-chefer, KIT@, Henrik Brix.

Datatilsynet vil derfor ikke udelukke yderligere undersøgelser.

»Det kan sagtens være, at vi tager flere lignende sager op med andre kommuner,« siger Lena Andersen.

Flere kommuner, heriblandt Københavns Kommune, bryder desuden persondataloven ved ikke at oplyse alle de private leverandører til Datatilsynet, som de ellers er forpligtede til.

Men det får ikke Datatilsynet til at reagere, der tidligere har oplyst til Version2, at den ikke bruger disse indberetninger til noget.

»Vores primære fokus er, at kommunerne har aftaler med deres leverandører og sørger for, at der er tilstrækkelig sikkerhed omkring oplysningerne om borgerne,« siger Lena Andersen.

Kommuner risikerer kun en løftet pegefinger

I første omgang vil Datatilsynet bekræfte, at Brøndby og Glostrup kommuner ikke har indgået databehandleraftaler og ikke fører kontrol med sikkerheden hos leverandørerne.

Kommunerne risikerer dog ikke andet end en løftet pegefinger. Det er nemlig alt, hvad Datatilsynet har myndighed til at gøre.

»De vil risikere at få kritik, hvis det viser sig, at de ikke lever op til persondataloven,« siger Lena Andersen.

Hun har tidligere i en høring i Folketinget sagt, at det bør undersøges, om Datatilsynet skal være i stand til at uddele hårdere straffe til myndigheder, som ikke overholder loven, eksempelvis i form af bøder.

SF bakker også op om forslaget, mens Venstre ikke vil komme med en klar udmelding om, hvad Datatilsynet skal have bemyndigelse til.

»Jeg synes, at Datatilsynet skal have mulighed for at udskrive nogle bøder, som kan forstås og mærkes,« sagde SF's retsordfører Karina Lorentzen tidligere til Version2.

Kommuner: For meget administration at overholde loven

Glostrup Kommune har efter Version2’s afsløring sagt, at den fremover vil lave databehandleraftaler og føre kontrol med it-sikkerheden hos sine samarbejdspartnere.
Begge kommuner oplyser, at de ikke var klar over kravene på forhånd.

Flere kommuner har samarbejdsaftaler med mange små leverandører, der i nogle tilfælde kun har forløb med enkelte borgere i aktivering. Derfor klager kommunerne over, at det vil kræve for meget administration at overholde loven og holde styr på sikkerheden hos alle disse små virksomheder.

Læs også: Kommuner: Spild af tid at overholde persondataloven

»Hvis man forestiller sig, at alle 98 kommuner skulle ud og lave databehandleraftaler på alle de små og store leverandører, så er det en kæmpe ressourcemæssig opgave,« sagde Henrik Brix tidligere til Version2.

»Der er mere behov for at ændre loven eller vejledningen til den end at ændre praksis. Det er spild af tid, at vi skal lave særskilte aftaler. Der kunne man jo sige, at når man leverede databehandling til det offentlige, var man i stedet automatisk forpligtet til at leve op til sikkerhedskravene i loven,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 John Foley

Henrik Brix sad i høring i Folketinget den 22. oktober og skamroste sig selv og KL. Alt er i den skønneste orden og vi lever op til at beskytte befolkningens personfølsomme oplysninger var ordene. Se selv Henrik Brix's udtalelser på Folketingets hjemmeside (ft.dk), hvor han for åben skærm fortæller om hvor godt han og KL gør deres job. Det er varm luft og uvederhæftig tale, som nu dokumenteres af Version2. Godt gået Version2, det er på tide at hykletriet afsløres og dokumenteres.

  • 12
  • 0
#2 Rasmus Wihlborg Jelsgaard

Det er meget muligt, men han har nu i den pointe i den forstand at det nuværende setup er meget tungt administrativt. Synes egentlig det ville være fair nok at lægge ansvaret for at kende til lovgivningen omkring håndtering af personfølsomme oplysninger over til leverandørens og så droppe kravet om at underskrive samme aftale pr. kunde for hver eneste person, der kan tænkes at komme i nærheden af noget følsomt. Det er simpelthen for stupidt som det er nu.

  • 1
  • 2
#4 Gert Madsen

Synes egentlig det ville være fair nok at lægge ansvaret for at kende til lovgivningen omkring håndtering af personfølsomme oplysninger over til leverandørens

Det er den offentlige myndighed, som tiltvinger sig adgang til vores personlige oplysninger. Selvfølgelig skal de så også stå til ansvar for at behandle dem ordentligt. Alt andet er ren ansvarsforflygtelse.

  • 5
  • 0
#5 Mogens Lysemose

"Derfor klager kommunerne over, at det vil kræve for meget administration at overholde loven".

Jeg kunne også argumentere med at det er for besværligt at selvangive, at overholde fartgrænserne og meget andet. Men modsat kommunerne risikerer jeg straf hvis jeg bevidst bryder loven...!

  • 9
  • 0
#6 Mikael Ibsen

hvad man havde instrueret ham om hjemmefra, for at få vimlet al den utidige og irriterende indblanding af.

Og så håbe på, at der ikke alt for hurtigt efter skete noget fælt...

Det virker i det hele taget nærmest, som om man nu har smidt håndklæder i ringen, når man prøver at få indrettet lovgivningen efter bekvemmelighedskriterier i stedet for efter trusselssituationen.

Nå, men nu er det jo også bare nogle ligegyldige borgeres ve og vel, det går ud over. Dem er der rigeligt nok af, og hvis der er noget, de er utilfredse med, kan de jo bare gå et andet sted hen !

Nå ikke - jamen det er da trist for dem, skrækkelig trist, men hvad kan man gøre, hvis viljen ikke rigtig er til stede ?

Og når et i forhold til kommunerne absolut tandløst Datatilsyn bare siger BØH og lægger i bunker.

  • 3
  • 0
#7 Milos Game

Datatilsynet giver en løftet pegefinger, men får en erigeret mellemfinger retur, fordi de ikke har beføjelserne. Så er det jo næsten spild af tid. Jeg gætter på, at hvis datatilsynet får beføjelserne til at udstede bøder, så vil klaphattene begrænse datatilsynet til så små bøder, at virksomhederne nærmest dør af grin.

  • 3
  • 0
#8 Jesper Lund

Synes egentlig det ville være fair nok at lægge ansvaret for at kende til lovgivningen omkring håndtering af personfølsomme oplysninger over til leverandørens og så droppe kravet om at underskrive samme aftale pr. kunde for hver eneste person, der kan tænkes at komme i nærheden af noget følsomt. Det er simpelthen for stupidt som det er nu.

Hvem skal føre tilsyn med de mange eksterne leverandører? I dag ligger ansvaret hos den dataansvarlige, men når kommunerne ikke ønsker at indgå databehandlingsaftaler, fordi det er for besværligt, bliver det næste vel at de heller ikke ønsker at føre tilsyn med databehandlere.. fordi det er for besværligt.

  • 3
  • 0
Log ind eller Opret konto for at kommentere