GDPR-smæk: Viborg og Randers Kommune får ‘alvorlig kritik’ af Datatilsynet

Illustration: bigstock
De to kommuner havde ikke styr på deres databehandleraftaler og er derfor mål for skrap kritik fra Datatilsynet.

Randers og Viborg Kommune er blevet afsløret af Datatilsynet i yderst mangelfuld håndtering af kommunernes databehandleraftaler. Sådanne aftaler skal sikre, at kommunernes samarbejdspartnere håndterer borgernes mange persondata korrekt.

Afsløringen sker på trods af, at det har været et lovkrav at have styr på sine databehandleraftaler, længe før GDPR blev implementeret i maj 2018. Den ‘alvorlige kritik’ af de to kommuner slår Datatilsynet fast i en afgørelse, der endnu ikke er offentliggjort, men som Viborg Kommune selv har offentliggjort i en pressemeddelelse.

Læs også: Indehaver af @anders.dk bombarderet med yderst følsomme hovsa-mails

Lars Sønderby, der er direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune mener, at kommunen har gjort sit bedste. Ikke desto mindre fortæller han, hvordan kommunens fokus på databehandleraftalerne er ændret betydeligt efter implementeringen af GDPR.

»Det er klart, at hvis sanktionerne er af økonomisk karakter, så får det et andet fokus, end det har haft før. Sådan er det sandsynligvis også i andre, private virksomheder. GDPR har rykket persondata ind på direktionsgangene,« fortsætter direktøren, der godt er klar over, at databehandleraftalerne har været et krav længe før GDPR.

Garanterer, der ikke er sket læk

Begge kommuner understreger i deres respektive pressemeddelelser, at der ikke er sket nogen læk af persondata trods databehandler-sløseriet, men da Version2 spurgte ind, kunne ingen af kommunerne garantere det.

Randers Kommune rettede udtalelsen til, at de ikke havde kendskab til nogle datalæk, mens Viborg Kommune henviser til det opsyn, kommunen har med sine databehandlere.

Læs også: Kommuners ukrypterede mail-svipsere er ‘dybt ulovlige og tegn på umodenhed’

»Det er vigtigt for mig at understrege, at vores tilsyn viser, at der ikke er sket nogle datalæk,« fortæller Klaus Christiansen, der er direktør for Beskæftigelse, Økonomi & Personale i Viborg Kommune.

Men faktisk fandt Datatilsynet fejl i tre ud af tre tilsynsprocedurer i Viborg Kommune. Med andre ord overholder kommunens tilsyn ikke de gældende regler i de tre tilfælde.

»Datatilsynet har været inde og vurdere tre af vores tilsynsprocedurer og finder så mangler i alle tre. Det er jeg ærgerlig over, men må også sige, at vi har prioriteret tilsynet med databehandleraftalerne under det at lave dem i første omgang,« siger Klaus Christiansen.

Lægger sig fladt ned

Afgørelsen og den skrappe kritik tager begge kommuner dog til sig.

»Vi har ikke puttet med noget som helst, og nu lægger vi os fladt ned. Det her rap over nallerne skal vi have,« siger Lars Sønderby.

»Når vi får en afgørelse fra tilsynet, antager vi, at den er rigtig, og så tager vi den til efterretning,« supplerer Viborg Kommunes Klaus Christiansen, der dog mener, at den nye persondataforordning er en stor mundfuld for kommunerne.

Læs også: It-chef i skandaleramte Randers Kommune: Jeg må være blevet informeret om datalæk

»Når det er sagt, synes vi, det her har været en stor opgave for os, også set i forhold til de ressourcer, vi har fået fra staten. Det her er kun en lille del af de opgaver, vi har på området,« siger Klaus Christiansen.

Formildende omstændighed

Mens kritikken ér skarp fra Datatilsynet, nævner det i afgørelsen, at siden Viborg Kommune havde styr på størstedelen af deres i alt 180 databehandlingsaftaler, er der tale om formildende omstændigheder, når kommunen kun manglede fem. I Randers Kommunes tilfælde manglede 40 databehandleraftaler, mens 28 ikke var opdateret til at leve op til de gældende regler.

Læs også: Kommune opfordrede forældre til at indsende børns psykiske diagnoser via usikker mail

Det kan også være en del af forklaringen på, at tilsynet ikke gav økonomiske bøder i denne omgang. På trods af, at Viborg Kommune også fejlede fuldkommen i stikprøvekontrollen:

»Datatilsynet kunne på baggrund af stikprøvekontrollen konstatere, at Viborg Kommune ikke i nogen af de udvalgte stikprøver kunne fremvise dokumentation for (...) nogen form for løbende tilsyn med behandlingen hos databehandleren,« skriver tilsynet i afgørelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Lars Sønderby, der er direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune mener, at kommunen har gjort sit bedste. Ikke desto mindre fortæller han, hvordan kommunens fokus på databehandleraftalerne er ændret betydeligt efter implementeringen af GDPR.
»Det er klart, at hvis sanktionerne er af økonomisk karakter, så får det et andet fokus, end det har haft før. Sådan er det sandsynligvis også i andre, private virksomheder. GDPR har rykket persondata ind på direktionsgangene,« fortsætter direktøren, der godt er kalr over, at databehandleraftalerne har været et krav længe før GDPR."

Dette er da nærmest en "Skråt op, så længe det ikke koster". Disse udtalelser viser jo klart og tydeligt, at man ikke regner lovgivningen for det papir, det er skrevet på, så længe der ikke falder kæmpebøder. Så hvorfor tøver Datatilsynet? Er de totalt tandløse? Er de under politisk pres? Det er pinligt og tillidsundergravende.

I følge Computerworld harRanders-manden også udtalt:
"Vi smider ikke alt, vi har i hænderne, fordi der kommer en ny lov. Vi har rigtig mange love, vi hele tiden skal overholde, så vi er også nødt til at gå til det ud fra en prioritering"
Read more at https://www.computerworld.dk/art/248468/randers-kommune-efter-haard-krit...

https://www.version2.dk/artikel/naivt-datatilsyn-kontaktede-randers-komm...

Hvor mange IT-bullshit-projekter har Randers sat igang de seneste 10 år? Mange! Så man kunne jo have nøjedes med at igangsætte de projekter, man faktisk havde midler til at igangsætte på fuldt lovlig vis - med databehandleraftaler. Ikke?

Martin Hoffmann

Så hvis datatilsynet ikke snart giver offentlige instanser bøder, så bliver forholdene ikke bedre.

Bare for lige at lege djævelens advokat, giver det så særlig meget mening at give bøder til kommuner?
Jeg mener, der straffer man jo reelt borgerne i kommunen for administrationens fejl.
Hvis der havde været bonusordninger i det offentlige, så var det dem der skulle rammes.

Per Larsen

Det er den klassiske diskussion. Giver det mening at 'staten' giver 'staten' bøder.
Det kan give lidt omfordeling, men nej ikke megen mening og i Randers tilfælde ville en gigantbøde vel nærmest betyde at administrationen ville komme under endnu større økonomisk pres.
Det bør klart have konsekvenser for de ansvarlige medarbejdere ligesom det givet ville have i en privat virksomhed

Gert Madsen

Jeg tænker bare at følgerne rammer bredere end hvad der gavner.


Man kan aldrig vide hvad der er "tilstrækkeligt" niveau.
Men det er åbenlyst at de mange sager om sikkerhedsbrister har sin rod i at det er gratis at give f.... i sikkerheden.
I de mest groteske sager ville man nok helt have undladt at indføre systemerne, hvis man havde haft prisen for sikkerhed med i sine budgetter.
Så er der følgevirkningerne. Hvis man går 30 år tilbage havde man en bevidsthed om problemerne med registersammenkøring, og eksponering af CPRnr. etc. Nu er der ikke et system, som ikke har CPRnr. som direkte nøgle, selvom det er helt unødvendigt. Og mit personlige indtryk er, at enhver kæmner-medhjælper-assistent-elev ser sig berettiget til at skrige alles CPRnr. udover hele borgerserviceområdet.

Martin Hoffmann

Man kan aldrig vide hvad der er "tilstrækkeligt" niveau.

Det er ikke engang så meget niveauet. Spørgsmålet er om dem der rammes er dem der kan rette op på noget.
Vi er helt enige om at den gennemsnitlige "kæmner-medhjælper-assistent-elev" formentlig ikke har nok styr på sine GDPR forpligtelser, og den øverste ledelse lader ikke til at være meget bedre, men det var ikke min pointe.
Problemet er at bøderne jo ikke rammer dem som rent faktisk begår fejlene. Eller, som i tilfældet med kommunerne, i sidste ende faktisk rammer dem som i forvejen er i risiko for at deres CPR numre bliver lækket.

Gert Madsen

Problemet er at bøderne jo ikke rammer dem som rent faktisk begår fejlene.


Pointen er, at når sikkerhed medfører noget økonomi, så når det den øverste ledelse. I hvert fald hvis beløbene når en vis størrelse. Det er rigtigt at dem som rammes i sidste ende kan være svage borgere. Men man skal ikke underkende kommunaldirektørens mavefornemmelse, når han skal til byrådet for at få godkendt en nedskæring, for at finde pengene til en bøde, for et lovbrud, som man har/burde have kendt til i årevis.

Anne-Marie Krogsbøll

Det bør klart have konsekvenser for de ansvarlige medarbejdere ligesom det givet ville have i en privat virksomhed


Ja, når der som i dette tilfælde helt tydeligt er tale om bevidste nedprioriteringer af at følge lovgivningen, så burde det have personalemæssige konsekvenser et eller andet sted i systemet. De ansvarlige bør straffes pesonligt, efter min mening. Ganske som læger bliver det, selv når de uforvarende kommer til at begå en fejl.

Så langt vil jeg ikke gå - der skal være plads til almindelige menneskelige fejl. Men der skal ikke være plads til bevidste overtrædelser af lovgivningen den ene gang efter den i en offentlig virksomhed, fordi man hellere vil bruge pengene på nye, spændende projekter, end på at gøre de gamle forsvarlige og lovmedholdelige. Så burde det være ud af vagten. Der mangler simpelthen en samvittighed hos de pågældende.

Peter Mortensen

...så tager vi den til efterretning

Med andre ord, har de ikke tænkt sig at handle. Man kan håbe at der snart bliver ført en principiel retssag hvor ansvarlige personer ansat hos offentlige bliver idømt klækkelige bøder eller fængsel for lemfældig omgang med private data.

De kan ikke undskylde sig med økonomi. Der er tale om lovbrud.

Claus Juul

hvor ansvarlige personer ansat hos offentlige bliver idømt klækkelige bøder eller fængsel

Fængsel, glem det, GDPR forordningen giver ikke mulighed for fængsel.

Bøder til personer, jeg tror ikke det sker, det vil betyde at arbejdsgiveren skal forsøge at gøre medarbejderne/chefen ansvarlig, medarbejderen har ikke nok at skulle at skulle have sagt i forhold til budget osv og kan ikke gøres ansvarlig. Chefen har indflydelse på budget osv men kan sikkert relativt let argumentere for at andre ønskede andre opgaver prioriteret højere.

Finn Christensen

Så hvis datatilsynet ikke snart giver offentlige instanser bøder,

Bøder er spild af skatteydernes penge, kommunen ejer ikke en eneste krone, da kommunen kun er forvalter af borgernes kroner - hver og en.

At både kommunen, de ansatte samt lokalpolitikerne gerne glemmer, at de kun er forvalter.. "ånden er redebon, men kødet er skrøbeligt" ;)

Nej man skal tage det værktøj frem, der virker, ellers fortsætter sektoren deres "ånden er redebon...". Som i visse dele af den seriøse private sektor, så lempes den formastelige eller nærmeste chefer ud, der jo havde kontrollen = ansvaret.

"Ud af klappen" er et præventivt signal til alle overalt i den offentlige sektor, for "slendrian" er nu ikke særlig rart at have med ved en kommende ansættelsessamtale.

Log ind eller Opret konto for at kommentere