Ansatte i kommune kigger i borgernes persondata uden gyldig grund

Esbjerg Kommune advarer efter afdækning af kritisabel datasikkerhed i kommunen de ansatte imod at ‘slå op på dine venners og families oplysninger’.

Knap 23 procent af de kommunalt ansatte kan ikke svare ja til, at de altid overholder sikkerhedsregler om, at man som sagsbehandler kun må slå op i de kommunale fagsystemer, hvis de har en gyldig arbejdsrelateret grund til det. Og det til trods for at fagsystemerne indeholder meget store mængder følsomme persondata om f.eks. borgernes sygdom, skilsmisser og økonomi.

Det viser en spørgeskema-baseret undersøgelse blandt 354 ansatte i Esbjerg Kommune, som er gennemført med digitaliseringskonsulent M.Sc. Marie Brodde fra kommunen i spidsen som led i kommunens forberedelse til den nye EU-databeskyttelsesforordning.

»Der er et overtal af ansatte, der er bekendt med it-sikkerhedspolitikken, men pointen er samtidig, at der er langt igen. For nogle ansatte har en tendens til et kunstnerisk islæt i forhold til reglerne: Man omgår dem, hvis man kan slippe afsted med det,« siger Marie Brodde.

Især galt uden for rådhusets mure

Undersøgelsen viser, at persondatasikkerhed generelt betragtes som relevant og meningsfuldt blandt de ansatte, og et flertal mener, at reglerne bør følges, især for borgernes skyld.

Men 11.000 ansatte har også adgang til it-systemer med persondata, selv om adgangen er begrænset af en relativt stram adgangsstyring.

Det er især i decentrale kommunale enheder som plejehjem og dagcentre, at der ifølge Marie Brodde er et behov for at øge opmærksomheden på, hvad der er rigtig og forkert.

Kommunen har for at stramme op udsendt en instruks til de ansatte her i marts, hvori det lyder, at ‘Du må kun slå op i fagsystemer, hvis det er i forbindelse med dine egne arbejdsopgaver. Du må fx ikke slå op på dine venners og families oplysninger’.

Tvivl om hvad gyldig grund er

Ud over informationskampagner bliver logs over de ansattes adfærd løbende tjekket. Marie Brodde afviser, at der er ansatte, der snuser rundt i borgerdata, hvor de ikke har noget at gøre.

»Men det kan ske, at man kommer til at åbne noget og så hov, så ser man, at man ikke har noget at gøre her – og man er klar over at det bliver registreret,« siger hun og tilføjer, at adfærden ofte bunder i, at mange ikke kender sikkerhedsreglerne, er i tvivl om hvad de rent faktisk har lov til eller ikke forstår meningen med dem.

Hvordan kan kommunen have ansatte, som ikke kender reglerne om, at de ikke må slå op i persondata uden en gyldig arbejdsgrund?

»Jeg mener ikke, at der er medarbejdere, som ikke er blevet orienteret om reglen. Men jeg mener, at der kan være tvivl om, hvad en ‘gyldig arbejdsgrund’ er.«

Læs også: Politikeren, professoren og privacy-forkæmperen: Sådan stopper vi myndigheders sløseri med borgernes persondata

Lars Neupart, der er en af de it-fagfolk i Danmark, der ved mest om persondatasikkerhed i det offentlige, er enig i, at der er tilfælde, hvor en ansat har slået op på persondata uden en arbejdsgrund ved et uheld.

»Men jeg tror godt de fleste ved, at medarbejdere også slår op af nysgerrighed. Der er altså tale om en blanding af noget, man kan komme til, og noget man gør af nysgerrighed. Har man søgt specifikt på personer for at få noget at vide om f.eks. en nabo, så er det ikke noget man ‘kommer forbi’,« siger han.

Ifølge Lars Neupart kan en årsag til de forkerte handlinger være, at der mange steder er et misforhold mellem, hvad de centrale enheder på rådhuset tror, at de ansatte ved og er blevet undervist i af persondatasikkerhed, og så hvordan virkeligheden reelt er.

»It-chefen og andre ansvarlige mener, de ansatte er blevet undervist, mens en meget stor gruppe siger, de ikke er undervist i sikkerhed. Nogle ved endda ikke, om de har fået undervisning,« siger han og peger på, at logning af de ansattes opslag er det bedste middel mod ulovlige opslag.

Datalæk gælder overalt i landet

Marie Brodde mener ikke, at Esbjerg Kommune har en særlig udfordring. Hvad undersøgelsen generelt viser om persondatasikkerheden i kommunen, vil også gælde i resten af landet, vurderer hun:

»Der vil altid være nogle, som ikke kender reglerne godt nok. Måske fordi de ikke har sat sig ind i de risici, der er forbundet med dataopslag – det er ikke en del af deres hverdag, for de yder en service,« siger hun.

Læs også: Drøje persondata-hug til flere kommuner fra Datatilsynet

Desuden er det hendes erfaring, at gamle ansatte er de sværeste at få til at være opmærksom på beskyttelse af persondata:

»Det er en langt sværere opgave at præge dem, der har været ansat i mange år. Så jo mere det kommer fra nye medarbejdere, jo bedre. Det er vigtigt at opdrage dem til it-sikkerhed fra starten.«

Marie Brodde understreger, at overholdelse af persondataregler ikke alene handler om at beskytte den enkelte borgeres data mod misbrug. Det handler også om at sikre opbakning til digitaliseringen af den offentlige forvaltning.

»Det er vigtigt at borgerne har tillid til kommunen. Vi bygger velfærdssamfundet på data, og mister vi tilliden fra borgerne, så bliver det meget svært at yde en service digitalt,« siger hun.

Marie Broddes undersøgte både viden, adfærd og holdninger. I forhold til adfærd blev der spurgt ind til, hvordan det stod til med at overholde fem regler. Når det gælder tavshedspligt, at holde adgangskoder fortrolige og at bruge sikre mailtjenester, var et meget stort flertal på niveau med reglerne.

I forhold til den femte regel – nemlig om data, herunder de følsomme, altid gemmes på sikre systemer som ESDH frem for netværksdrev – svarede 30 procent, at de ikke altid overholdt. Her er vurderingen, at ESDH-systemerne kan være for besværlige og derfor vælger man dem fra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

At kommunalt ansatte ikke ved, at man ikke må "snuse" af nysgerrighed i systemerne?

Enten er opslaget fagligt relateret eller også er det ikke tilfældet - resten er kun et spørgsmål om opklaringsprocenter, som let løses med at logge det fulde brugernavn på den kommunalt ansatte med dato og klokkeslæt og vises til borgeren, næste gang borgeren logger på.

På borgerens skærm laves en knap som hedder "POLITIANMELD".

Det skal nok lægge en dæmper på snushanerne og sikrer imod uetisk adfærd når et antal kommunalt ansatte er blevet bortvist for at rode i naboers, ekskæresters og lignendes sager uden saglig årsag.

Martin Olesen

Problemet her er jo at ansatte har adgang til data som ikke omhandler deres klienter/borgere.
I en normal virksomhed har folk kun adgang til de data som de har brug for, forstår ikke helt hvorfor det ikke er sådan i det kommunale system.

Jacob Pind

I Tyskland er det sådan når du kommer ned på de forskellige forvaltning , stopper du dit eperso kort i en kort læse, og trykker din pinkode samtidmed at du på skærmen ser hvilken myntdighed du giver tillades til at bruge dit kort for at tilgå din data, uden det kan folk bag skranken ikke tilgå folks data.
Og man kan efterfølgen se hvilken ting man har givet tilllades til hvor og hvornår, men den slags som sætter borgeren i centrum er utænkeligt her i landet, hvor databeskyttelse hos det offenlige er så populær som herpes.

Kevin Lund

når der laves en opslag på en borger. Jeg ville da meget gerne vide, når myndigheder tjekker mig ud. Man kunne forestille sig, at det var tilgængeligt på borger.dk En historik over opslag i systemer. Eks: Esbjerg Kommune, Sundhed - 6. april 2017. Så kan borgeren selv kontrollere og stille spørgsmål ved et opslag.

Markus Hornum-Stenz

I praksis går tendensen i retning af at man prioriterer hurtigere og smidigere sagsbehandling over kontrol med hvem der kan se hvad.
Overvej fx hvilke konsekvenser det har for din datasikkerhed som privatperson, hvis du bruger din FB eller Google konto til at få adgang til et system, hvor du ellers skal oprette en separat bruger, som skal oprettes, password huskes (eller gemmes i browser) osv

I praksis er det supersvært at skelne mellem, hvad der er berettiget og uberettiget adgang til et system, og derfor nærmest umuligt at indrette et system på en sådan måde, at det kun viser de resultater, som er relevante for den sag man konkret sidder og arbejder med, fordi mennesker arkiverer mindre end perfekt, også i digitale systemer.

Peter Jensen

Politianmeldelse af de offentligt ansattes kriminalitet har ingen reel effekt, da offentligt ansatte som oftest aldrig straffes for deres kriminalitet. Sædvanligvis sker der blot en 'påtale', 'forflytning' til andre arbejdsopgaver og kun i de aller mest ekstreme tilfælde sker der en afskedigelse (som dog vil ske på yderst favorable vilkår med lang opsigelse, fuld pension, bonusser, fratrædelsesgodtgørelser, gyldne håndtryk osv).

Kun ved en reel risiko for ubetinget fængselsstraf til de involverede offentligt ansatte vil en politianmeldelse have nogen reel effekt.

Kenn Nielsen

En historik over opslag i systemer. Eks: Esbjerg Kommune, Sundhed - 6. april 2017. Så kan borgeren selv kontrollere og stille spørgsmål ved et opslag.

Eller :
Esb.Kommune, medarbejder No.98765, afd. for tvangsfjernelse og vanrøgt - 1.april 2017.....

Det er vigtigt at kunne identificere, men når borger.dk bliver hacket, eller medarbejdere på borger.dk snuser - eller lækker - så bør der jo ikke findes noget som er ukrypteret.
For som ovenstående eksempel angiver, så kan 'metadata' sige meget..

Det er ligesom din fortrolighed ved lægen...
Lægen sladrer ikke.
Men han insisterer på at når der udskrives medecin, der skal stå :
"Kurt Emil Sladpjok ; 2 piller 3 gange dagligt mod Syfilis", så alle på apoteket er 'med på en kigger'.
Teksten for udskrifterne ligger garanteret også ubeskyttede.

K

Kenn Nielsen
Kenn Nielsen

I praksis er det supersvært at skelne mellem, hvad der er berettiget og uberettiget adgang til et system, og derfor nærmest umuligt at indrette et system på en sådan måde, at det kun viser de resultater, som er relevante for den sag man konkret sidder og arbejder med, fordi mennesker arkiverer mindre end perfekt, også i digitale systemer.

Jamen, så må medarbejderen have en 'årsagsfane' hvor hen(km) skal afkrydse grunde til han er inde på borgerens oplysninger om seksuelle preferencer , når det nu var ansøgningen om tilskud til rollator, han egentligt sidder og behandler.
Og man kan ikke forlade siden med oplysninger, eller tilgå andet, førend der er valgt nogle årsager.
Alle årsager logges, - og der er versionering/historik.
Borgeren får tilsendt hele loggen - krypteret og signeret - hvergang der er ændret noget.

EDIT:
Glemte helt at nævne det indlysende; nemlig at loggen ikke bør sendes til Eboks, da vi jo ved at afsendere kan ændre i allerede modtagne mails.

K

Henrik Koudahl

Oplevede for et par år siden at jeg på SKAT kunne se at en medarbejder for en kommune havde tjekket min årsopgørelse. Jeg har aldrig boet i den pågældende kommune og har aldrig haft noget forhold til denne. Klagede til kommunen - og fik svaret at man ikke kan se hvilken medarbejder er tale om og at det formentlig er et fejlopslag.

Right...... Først står det angivet at der er givet autorisation til at se min opgørelse og derefter opslag. Altså to fejlopslag......

Hvad der egentlig er mest bekymrende er kommunens svar om at man ikke havde mulighed for at se hvem der havde lavet opslaget. Den tror jeg så ikke på....

Kristian Schjørring

Nu har jeg været lidt rundt i det "offentlige Danmark" og at fremstille dette som et problem der relaterer sig særligt til kommunerne er helt hen i vejret.
Et sted jeg har været gik man meget op i at afskærme og logge al aktivitet omkring Personaledata, hvilket var ret interessant set i lyset af, at selv meget følsomme data om samme personale kunne tilgås i konteksten af "borger" uden at der blev logget det fjerneste.
Endvidere er det nærmest horribelt hvilke data der "flyder" ifm "forskning". Her er der ofte tale om data som er "eksporteret" uden at de er anonymiseret, og enhver form for kontrol er derfor helt umuligt. (bare se CD'er der havnede på den Kinesiske ambassade)
Det eneste sted jeg har oplevet effektiv logning (dog uden en ligeså effektiv log-opfølgning) er kriminalregisteret. Udover det, gør man klogt at gå ud fra at ens oplysninger i offentligt regi flyder "forholdsvis" frit, og primært begrænses primært af individets moral og formodentlige frygt for at blive beskyldt at videregive informationer. Det skyldes helt sikkert ikke IT-mæssig sikkerhed og begrænsninger.

Jens Krabbe

Den løsning (4% af ansattes løn) skal nok afholde en del fra at sløse med deres opslag.
Derudover løser den netop det hul i persondataloven, som bøderne ellers ikke kunne dække, da det er borernes egne penge, der i sidste ende kommer til at betale.
Men det kræver så, at politiet bliver involveret i hver sag, så interne konflikter ikke kan blive til falske anklager om sløseri.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize