GDPR-smæk: Viborg og Randers Kommune får ‘alvorlig kritik’ af Datatilsynet

12. august 2019 kl. 17:3921
GDPR-smæk: Viborg og Randers Kommune får ‘alvorlig kritik’ af Datatilsynet
Illustration: bigstock.
De to kommuner havde ikke styr på deres databehandleraftaler og er derfor mål for skrap kritik fra Datatilsynet.
person
Mads Lorenzen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Mads Lorenzen
Journalist

Randers og Viborg Kommune er blevet afsløret af Datatilsynet i yderst mangelfuld håndtering af kommunernes databehandleraftaler. Sådanne aftaler skal sikre, at kommunernes samarbejdspartnere håndterer borgernes mange persondata korrekt.

Afsløringen sker på trods af, at det har været et lovkrav at have styr på sine databehandleraftaler, længe før GDPR blev implementeret i maj 2018. Den ‘alvorlige kritik’ af de to kommuner slår Datatilsynet fast i en afgørelse, der endnu ikke er offentliggjort, men som Viborg Kommune selv har offentliggjort i en pressemeddelelse.

Lars Sønderby, der er direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune mener, at kommunen har gjort sit bedste. Ikke desto mindre fortæller han, hvordan kommunens fokus på databehandleraftalerne er ændret betydeligt efter implementeringen af GDPR.

»Det er klart, at hvis sanktionerne er af økonomisk karakter, så får det et andet fokus, end det har haft før. Sådan er det sandsynligvis også i andre, private virksomheder. GDPR har rykket persondata ind på direktionsgangene,« fortsætter direktøren, der godt er klar over, at databehandleraftalerne har været et krav længe før GDPR.

Garanterer, der ikke er sket læk

Begge kommuner understreger i deres respektive pressemeddelelser, at der ikke er sket nogen læk af persondata trods databehandler-sløseriet, men da Version2 spurgte ind, kunne ingen af kommunerne garantere det.

Artiklen fortsætter efter annoncen

Randers Kommune rettede udtalelsen til, at de ikke havde kendskab til nogle datalæk, mens Viborg Kommune henviser til det opsyn, kommunen har med sine databehandlere.

»Det er vigtigt for mig at understrege, at vores tilsyn viser, at der ikke er sket nogle datalæk,« fortæller Klaus Christiansen, der er direktør for Beskæftigelse, Økonomi & Personale i Viborg Kommune.

Men faktisk fandt Datatilsynet fejl i tre ud af tre tilsynsprocedurer i Viborg Kommune. Med andre ord overholder kommunens tilsyn ikke de gældende regler i de tre tilfælde.

»Datatilsynet har været inde og vurdere tre af vores tilsynsprocedurer og finder så mangler i alle tre. Det er jeg ærgerlig over, men må også sige, at vi har prioriteret tilsynet med databehandleraftalerne under det at lave dem i første omgang,« siger Klaus Christiansen.

Lægger sig fladt ned

Afgørelsen og den skrappe kritik tager begge kommuner dog til sig.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Vi har ikke puttet med noget som helst, og nu lægger vi os fladt ned. Det her rap over nallerne skal vi have,« siger Lars Sønderby.

»Når vi får en afgørelse fra tilsynet, antager vi, at den er rigtig, og så tager vi den til efterretning,« supplerer Viborg Kommunes Klaus Christiansen, der dog mener, at den nye persondataforordning er en stor mundfuld for kommunerne.

»Når det er sagt, synes vi, det her har været en stor opgave for os, også set i forhold til de ressourcer, vi har fået fra staten. Det her er kun en lille del af de opgaver, vi har på området,« siger Klaus Christiansen.

Formildende omstændighed

Mens kritikken ér skarp fra Datatilsynet, nævner det i afgørelsen, at siden Viborg Kommune havde styr på størstedelen af deres i alt 180 databehandlingsaftaler, er der tale om formildende omstændigheder, når kommunen kun manglede fem. I Randers Kommunes tilfælde manglede 40 databehandleraftaler, mens 28 ikke var opdateret til at leve op til de gældende regler.

Det kan også være en del af forklaringen på, at tilsynet ikke gav økonomiske bøder i denne omgang. På trods af, at Viborg Kommune også fejlede fuldkommen i stikprøvekontrollen:

»Datatilsynet kunne på baggrund af stikprøvekontrollen konstatere, at Viborg Kommune ikke i nogen af de udvalgte stikprøver kunne fremvise dokumentation for (...) nogen form for løbende tilsyn med behandlingen hos databehandleren,« skriver tilsynet i afgørelsen.

Fokus
,
Emner
21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
21
Niels Madsen
2. oktober 2019 kl. 14:18

Når databehandleraftalerne ikke har været på plads, så er der pr definition sket læk, idet data er blevet overført til 3.part i strid med loven.

  • more_vert
    • insert_linkKopier link
18
Finn Christensen
14. august 2019 kl. 19:18

Så hvis datatilsynet ikke snart giver offentlige instanser bøder,

Bøder er spild af skatteydernes penge, kommunen ejer ikke en eneste krone, da kommunen kun er forvalter af borgernes kroner - hver og en.

At både kommunen, de ansatte samt lokalpolitikerne gerne glemmer, at de kun er forvalter.. "ånden er redebon, men kødet er skrøbeligt" ;)

Nej man skal tage det værktøj frem, der virker, ellers fortsætter sektoren deres "ånden er redebon...". Som i visse dele af den seriøse private sektor, så lempes den formastelige eller nærmeste chefer ud, der jo havde kontrollen = ansvaret.

"Ud af klappen" er et præventivt signal til alle overalt i den offentlige sektor, for "slendrian" er nu ikke særlig rart at have med ved en kommende ansættelsessamtale.

  • more_vert
    • insert_linkKopier link
17
Claus Bobjerg Juul
13. august 2019 kl. 20:02

hvor ansvarlige personer ansat hos offentlige bliver idømt klækkelige bøder eller fængsel

Fængsel, glem det, GDPR forordningen giver ikke mulighed for fængsel.

Bøder til personer, jeg tror ikke det sker, det vil betyde at arbejdsgiveren skal forsøge at gøre medarbejderne/chefen ansvarlig, medarbejderen har ikke nok at skulle at skulle have sagt i forhold til budget osv og kan ikke gøres ansvarlig. Chefen har indflydelse på budget osv men kan sikkert relativt let argumentere for at andre ønskede andre opgaver prioriteret højere.

  • more_vert
    • insert_linkKopier link
16
Peter Mortensen
13. august 2019 kl. 15:28

...så tager vi den til efterretning

Med andre ord, har de ikke tænkt sig at handle. Man kan håbe at der snart bliver ført en principiel retssag hvor ansvarlige personer ansat hos offentlige bliver idømt klækkelige bøder eller fængsel for lemfældig omgang med private data.

De kan ikke undskylde sig med økonomi. Der er tale om lovbrud.

  • more_vert
    • insert_linkKopier link
14
Anne-Marie Krogsbøll
13. august 2019 kl. 13:20

Det bør klart have konsekvenser for de ansvarlige medarbejdere ligesom det givet ville have i en privat virksomhed

Ja, når der som i dette tilfælde helt tydeligt er tale om bevidste nedprioriteringer af at følge lovgivningen, så burde det have personalemæssige konsekvenser et eller andet sted i systemet. De ansvarlige bør straffes pesonligt, efter min mening. Ganske som læger bliver det, selv når de uforvarende kommer til at begå en fejl.

Så langt vil jeg ikke gå - der skal være plads til almindelige menneskelige fejl. Men der skal ikke være plads til bevidste overtrædelser af lovgivningen den ene gang efter den i en offentlig virksomhed, fordi man hellere vil bruge pengene på nye, spændende projekter, end på at gøre de gamle forsvarlige og lovmedholdelige. Så burde det være ud af vagten. Der mangler simpelthen en samvittighed hos de pågældende.

  • more_vert
    • insert_linkKopier link
13
Gert Madsen
13. august 2019 kl. 13:20

Problemet er at bøderne jo ikke rammer dem som rent faktisk begår fejlene.

Pointen er, at når sikkerhed medfører noget økonomi, så når det den øverste ledelse. I hvert fald hvis beløbene når en vis størrelse. Det er rigtigt at dem som rammes i sidste ende kan være svage borgere. Men man skal ikke underkende kommunaldirektørens mavefornemmelse, når han skal til byrådet for at få godkendt en nedskæring, for at finde pengene til en bøde, for et lovbrud, som man har/burde have kendt til i årevis.

  • more_vert
    • insert_linkKopier link
12
Povl Hansen
13. august 2019 kl. 12:57

Med en hast som lovgivinge bliver ændret på, er kommeunne måske bare ikke nåed til af kigget på GDPR lovgivingen endnu

  • more_vert
    • insert_linkKopier link
11
Martin Hoffmann
13. august 2019 kl. 12:27

Man kan aldrig vide hvad der er "tilstrækkeligt" niveau.

Det er ikke engang så meget niveauet. Spørgsmålet er om dem der rammes er dem der kan rette op på noget. Vi er helt enige om at den gennemsnitlige "kæmner-medhjælper-assistent-elev" formentlig ikke har nok styr på sine GDPR forpligtelser, og den øverste ledelse lader ikke til at være meget bedre, men det var ikke min pointe. Problemet er at bøderne jo ikke rammer dem som rent faktisk begår fejlene. Eller, som i tilfældet med kommunerne, i sidste ende faktisk rammer dem som i forvejen er i risiko for at deres CPR numre bliver lækket.

  • more_vert
    • insert_linkKopier link
10
Gert Madsen
13. august 2019 kl. 12:14

Jeg tænker bare at følgerne rammer bredere end hvad der gavner.

Man kan aldrig vide hvad der er "tilstrækkeligt" niveau. Men det er åbenlyst at de mange sager om sikkerhedsbrister har sin rod i at det er gratis at give f.... i sikkerheden. I de mest groteske sager ville man nok helt have undladt at indføre systemerne, hvis man havde haft prisen for sikkerhed med i sine budgetter. Så er der følgevirkningerne. Hvis man går 30 år tilbage havde man en bevidsthed om problemerne med registersammenkøring, og eksponering af CPRnr. etc. Nu er der ikke et system, som ikke har CPRnr. som direkte nøgle, selvom det er helt unødvendigt. Og mit personlige indtryk er, at enhver kæmner-medhjælper-assistent-elev ser sig berettiget til at skrige alles CPRnr. udover hele borgerserviceområdet.

  • more_vert
    • insert_linkKopier link
9
Per Larsen
13. august 2019 kl. 11:53

Det er den klassiske diskussion. Giver det mening at 'staten' giver 'staten' bøder. Det kan give lidt omfordeling, men nej ikke megen mening og i Randers tilfælde ville en gigantbøde vel nærmest betyde at administrationen ville komme under endnu større økonomisk pres. Det bør klart have konsekvenser for de ansvarlige medarbejdere ligesom det givet ville have i en privat virksomhed

  • more_vert
    • insert_linkKopier link
8
Martin Hoffmann
13. august 2019 kl. 11:20

økonomi (= bøder) giver fokus på at løse problemet.

Jeg er helt enig i at incitamentet fungerer. Jeg tænker bare at følgerne rammer bredere end hvad der gavner. Man kan jo håbe at folk til næste kommunalvalg så ville huske hvorfor skolens legeplads ikke blev vedligeholdt længere

  • more_vert
    • insert_linkKopier link
5
Anne-Marie Krogsbøll
13. august 2019 kl. 07:56

fordi disse er for store

Det er selvfølgelig min udlægning, at Datatilsynet forventer, at Google vil sende hele hæren af advokater i nakken på dem, og at de ikke orker/har ressourcer til den kamp.

  • more_vert
    • insert_linkKopier link
3
Lars Vosgerau
12. august 2019 kl. 21:57

Datatilsynet tøver på alt, Det er en flok kolbøtter og amatører !

  • more_vert
    • insert_linkKopier link
2
Anne-Marie Krogsbøll
12. august 2019 kl. 18:55

"Lars Sønderby, der er direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune mener, at kommunen har gjort sit bedste. Ikke desto mindre fortæller han, hvordan kommunens fokus på databehandleraftalerne er ændret betydeligt efter implementeringen af GDPR. »Det er klart, at hvis sanktionerne er af økonomisk karakter, så får det et andet fokus, end det har haft før. Sådan er det sandsynligvis også i andre, private virksomheder. GDPR har rykket persondata ind på direktionsgangene,« fortsætter direktøren, der godt er kalr over, at databehandleraftalerne har været et krav længe før GDPR."

Dette er da nærmest en "Skråt op, så længe det ikke koster". Disse udtalelser viser jo klart og tydeligt, at man ikke regner lovgivningen for det papir, det er skrevet på, så længe der ikke falder kæmpebøder. Så hvorfor tøver Datatilsynet? Er de totalt tandløse? Er de under politisk pres? Det er pinligt og tillidsundergravende.

I følge Computerworld harRanders-manden også udtalt:"Vi smider ikke alt, vi har i hænderne, fordi der kommer en ny lov. Vi har rigtig mange love, vi hele tiden skal overholde, så vi er også nødt til at gå til det ud fra en prioritering"Read more at https://www.computerworld.dk/art/248468/randers-kommune-efter-haard-krit...

https://www.version2.dk/artikel/naivt-datatilsyn-kontaktede-randers-kommune-problemer-med-hovsa-mails-allerede-2013-1085813#comment-399479

Hvor mange IT-bullshit-projekter har Randers sat igang de seneste 10 år? Mange! Så man kunne jo have nøjedes med at igangsætte de projekter, man faktisk havde midler til at igangsætte på fuldt lovlig vis - med databehandleraftaler. Ikke?

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
12. august 2019 kl. 18:26

»Det er klart, at hvis sanktionerne er af økonomisk karakter, så får det et andet fokus, end det har haft før.

Så hvis datatilsynet ikke snart giver offentlige instanser bøder, så bliver forholdene ikke bedre.

  • more_vert
    • insert_linkKopier link