Det har ikke skortet på kritikpunkter, når Datatilsynet i de sidste år har gæstet danske kommuner og myndigheder.
Alene i 2016 blev 16 kommuners datasikkerhed gået efter i sømmene, og her fik fire kommuner det alvorlige stempel ‘meget kritisabelt’ med på vejen fra tilsynet.
Men trods de store ord giver besøg fra Datatilsynet ikke altid mere respekt for borgernes persondata, fortæller kontorchef i Datatilsynet Jesper Vang.
»Langt de fleste vil gerne høre det, vi siger, og rette op. Men der er også nogle få brodne kar, der kan virke ligeglade med vores anbefalinger,« siger han og fortsætter:
»Og så bliver vi i dag sat skakmat.«
Lover bod og bedring
Ifølge Jesper Vang har man ikke statistik på, hvor ofte myndigheder ignorerer kritikken fra Datatilsynet.
Men tilsynet har for eksempel haft sager, hvor kommuner gentagnr gange har sendt fortrolige eller følsomme personoplysninger i ukrypterede mails, og hvor kommunen lover bod og bedring, men ikke ændrer praksis.
Læs også: Datatilsynet bliver glemt af regeringen
»Der mangler vi et magtmiddel som tilsyn,« understreger Jesper Vang.
»Nogle gange kan vi få en fornemmelse af, at der sidder en forvaltningschef, som ikke rapporterer videre til kommunalbestyrelsen. I disse situationer har vi somme tider valgt at sende vores udtalelser direkte til kommunalbestyrelsen, så vi er sikre på, at de bliver bekendt med problemerne,« fortsætter kontorchefen.
Borgmester: Sådan er det bare
Heller ikke den strategi giver altid gevinst, fortæller Jesper Vang.
»En enkelt gang har vi fået et svar fra en borgmester, der skrev, at der ikke var noget at gøre ved det. Og der kan vi så ikke gøre noget, fordi vi ikke har noget magtmiddel.«
»I princippet kan de bare sige: ‘Det er fint’ og fortsætte,« tilføjer kontorchefen.
I yderste instans kan Datatilsynet forsøge at få det ansvarlige ministerium til at skrue bissen på – f.eks. ved at gå til Indenrigsministeriet, hvis der er store dataproblemer i en kommune.
»For nogle år siden havde vi en del sager med universiteter, der brød persondataloven, og der skrev vi til sidst til forskningsministeriet og bad dem om at tage en snak med universiteterne,« fortæller Jesper Vang og fortsætter:
»Men det er et problem. Der mangler en prioritering af det her område ude i mange myndigheder, og det kunne der måske komme, hvis vi havde mulighed for at give dem et bedre incitament.«
Diskussion om bøder udskudt
EU’s persondataforordning, der træder i kraft i maj næste år, lægger op til, at offentlige myndigheder – på linje med virksomheder – kan straffes med bøde for datasjusk.
Bødemuligheden er dog valgfri for medlemslandene. Og derfor bliver det op til Folketinget at vedtage eventuelle bøder, når forordningen skrives ind i dansk lov.
I første omgang er diskussionen sparket til hjørne. I regeringens første udkast til lovteksten står der ved pargraf 41, stk 5:
»Stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår.«
Datatilsynet har ingen officiel holdning til spørgsmålet om bøder. Hvad der præcis skal til, vil Jesper Vang ikke tage stilling til, men han siger dog:
»Bøder kan være en mulighed for at få dem, der ikke vil, til at overholde reglerne, men der kan sikkert også være andre muligheder. Det er i sidste ende en politisk beslutning.«