Kommuner bryder loven: Intet tilsyn med borgeres personfølsomme oplysninger

En række kommuner, som Version2 har undersøgt, bryder persondataloven på flere punkter og efterlader borgeres personfølsomme oplysninger i hænderne på private virksomheder uden at have styr på, om de er sikre eller ej.

Når man som borger skriver under på, at kommunen kan give ens personlige oplysninger videre til andre virksomheder, kan der være grund til at være på vagt.

Flere kommuner overholder nemlig ikke en række helt basale krav til datasikkerheden, som det står beskrevet i persondataloven.

Det viser en stikprøveundersøgelse, som Version2 har foretaget, og som afslører en række lovbrud i kommunerne i deres forhold til jobcentrenes eksterne leverandører i beskæftigelsesindsatsen.

To kommuner, Glostrup og Brøndby kommuner, har ikke indgået lovpligtige databehandleraftaler og foretaget revision af it-sikkerheden hos alle deres eksterne leverandører til jobcentrene. Dermed kan kommunerne ikke vide sig sikre på, om borgernes oplysninger bliver opbevaret og behandlet sikkert hos leverandørerne.

»Det er et essentielt krav, at man som offentlig myndighed skal have styr på sine databehandlere, ellers mister man kontrollen af sine data, og det kan man ikke have - især ikke i det offentlige,« siger it-advokat hos Bird & Bird Nis Peter Dall til Version2.

»Det er alarmerende, når det roder så meget på det kommunale område. Vi skal som borgere have tillid til, at vores personlige oplysninger bliver håndteret på en god og ansvarlig måde, og det synes jeg ikke, det her vidner om,« siger SF’s retsordfører, Karina Lorentzen.

De pågældende leverandører hjælper jobcentrene med specialiserede forløb til borgere i aktivering og har derfor i nogle tilfælde adgang til personfølsomme oplysninger om borgerne af forskellig grad som eksempelvis sygdomme og sociale problemer.

Databehandleraftalerne skal sammen med it-revisionen være med til at sikre, at leverandørerne har truffet de nødvendige sikkerhedsforanstaltninger for at forhindre misbrug af borgernes oplysninger. Men det er ikke altid, at kommunerne gør brug af de lovpligtige tiltag.

»Vi har brugt databehandleraftaler tidligere, men gør det ikke længere. Med størrelsen på vores jobcenter overstiger administrationen gevinsten ved at bruge dem,« siger jobcenterchef i Brøndby Bjarne Bo Larsen og forklarer, at da jobcenteret skiftede en række leverandører ud, troede man ikke længere, at det var nødvendigt at have databehandleraftaler for de resterende leverandører.

»Vi har enkelte meget individuelt orienterede indsatsforløb, så jeg tør slet ikke tænke på, hvad det ville kræve af ressourcer at lave databehandleraftaler med alle leverandørerne,« siger han.

Manglende indberetninger til Datatilsynet

En stor del af de kommuner, som Version2 har undersøgt, forsømmer desuden deres pligt til at indberette alle deres databehandlere til Datatilsynet.

Det gælder blandt andet Høje Taastrup, Glostrup, Brøndby og Københavns kommuner, men da der kun er tale om en stikprøve, kan der være tale om langt flere kommuner, som ikke overholder kravene i persondataloven. I alt har seks kommuner svaret på Version2's henvendelse. Fire af dem bryder persondataloven ved ikke at indberette deres databehandlere, mens to af dem ikke er omfattet af reglerne.

Når kommunerne overgiver borgeres oplysninger til private samarbejdspartnere i beskæftigelsesindsatsen, skal kommunen ifølge persondataloven melde alle disse databehandlere til Datatilsynet. Og det har nogle af kommunerne undladt.

»Det er en overtrædelse af persondataloven. De vil sandsynligvis få en påtale og blive bedt om at få det bragt i orden ganske snart,« siger Nis Peter Dall og påpeger, at kommunerne skal indberette databehandlerne, så Datatilsynet har mulighed for at komme med bemærkninger.

»Man kan kun opfordre Datatilsynet til at have opmærksomhed på det her,« siger Karina Lorentzen, der vil bede beskæftigelsesministeren om at redegøre for, om der er behov for en nærmere undersøgelse af kommunerne.

»Jeg er godt klar over, at det er at stikke hånden ned i en hvepserede og åbne pandoras æske, for der vil nok vælte mange skeletter ud af skabet. Men det er den bedste forudsætning for at lave præcise tiltag,« siger Karina Lorentzen.

Både Glostrup og Københavns kommuner har efter Version2’s afsløringer meldt tilbage, at man fremover vil melde databehandlerne til Datatilsynet. Glostrup Kommune oplyser desuden, at den vil lave databehandleraftaler med leverandørerne og føre fast tilsyn med dem i fremtiden.

Brøndby og Høje Taastrup kommuner, der mangler at indberette nogle af deres databehandlere til Datatilsynet, oplyser begge, at de ikke var klar over kravene på forhånd:

»Vi gør en stor indsats for at gøre det her rigtigt. Det er derfor, vi har lavet databehandleraftaler, fordi vi troede, at de opfyldte kriterierne. Hvis det viser sig, at det ikke er korrekt, skal vi have rettet det hurtigst muligt,« siger Jeanette Teglgaard, der er afdelingsleder i Jobcenter Høje Taastrup.

Datatilsynet: Vi bruger ikke oplysningerne til noget

Datatilsynet vil ikke kommentere på de konkrete kommuners brud på persondataloven og oplyser, at de ikke var bekendt med de manglende indberetninger fra kommunerne.

»Det er jeg ikke klar over på stående fod, men det ville ikke undre mig, hvis der var nogen, der havde glemt at indberette nogle databehandlere,« siger kontorchef hos Datatilsynet Lena Andersen og fortæller, at de pågældende kommuner vil kunne forvente en løftet pegefinger fra Datatilsynet.

»Det, vi interesserer os for, når vi kommer ud på kontrolbesøg, er, om kommunerne har databehandleraftaler, og om de sørger for, at sikkerheden er i orden hos databehandlerne,« siger Lena Andersen og forholder sig mere køligt til de manglende indberetninger til Datatilsynet:

»Vi bruger ikke oplysningerne til noget - vi bruger oplysningerne, vi får på stedet under tilsynet. Jeg ved ikke, om det vil blive opdaget, hvis indberetningerne mangler.«

Hvorfor skal I så have de her indberetninger af kommunernes databehandlere?

»Det er jo bare noget, der står i loven. Der skal man spørge politikerne om, hvorfor de har lavet bestemmelserne, som de har.«

Datatilsynet er i øjeblikket ved at foretage stikprøver af datasikkerheden blandt borgerservicecentrene, men har ifølge Lena Andersen endnu ikke planlagt nogen kontrol af jobcentrene på beskæftigelsesområdet.

I en høring i Folketingets Retsudvalg om offentlige myndigheders behandling af personoplysninger i sidste uge foreslog Lena Andersen politikerne, at man undersøgte mulighederne for at straffe de myndigheder, der overtræder persondataloven.

Læs også: Offentlige myndigheder sender personfølsomme oplysninger med ukrypteret mail til forkerte modtagere

I øjeblikket er en løftet pegefinger Datatilsynets hårdeste sanktionsmiddel mod de myndigheder, der måtte overtræde persondataloven, og det bør der ændres på, hvis det står til SF:

»Jeg synes, at Datatilsynet skal have mulighed for at udskrive nogle bøder, som kan forstås og mærkes,« siger Karina Lorentzen og uddyber:

»Det kan ikke nytte noget, at man på EU-plan arbejder for, at man ikke skal kunne straffe kommuner og resten af det offentlige lige så hårdt som det private. Det er først og fremmest i det offentlige, at hovedparten af de personfølsomme oplysninger håndteres.«

Fakta om personfølsomme oplysninger i det offentlige

Det forpligter kommunerne sig til ifølge persondataloven:

  • Når borgernes oplysninger bliver behandlet af private virksomheder, skal kommunen melde virksomhederne til Datatilsynet som databehandlere. Det kan eksempelvis være virksomheder, der hjælper jobcentrene med specialiserede tilbud til borgere i aktivering.*

  • For at sikre, at borgernes oplysninger bliver behandlet sikkert hos de eksterne leverandører, skal kommunerne også lave databehandleraftaler med deres databehandlere.*

  • Kommunen skal desuden årligt kræve en revisionserklæring om it-sikkerheden hos databehandlerne for at sikre, at virksomhederne lever op til en række krav til blandt andet sikkerhedsprocedurer.*

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Jeg var til nævnte høring i Folketinget og hørte bla. Henrik Brix, der er medlem af KL's it-kontaktudvalg. Han fortalte at han var ganske tryg ved kommunernes overholdelse af gældende bestemmelser. Han synes endvidere, at kommunerne gør det ganske godt og at man har fod på datasikkerheden. Ja, sådan sagde han. Gå selv ind og hør ham på Folketingets hjemmeside under "høring i arbejdsgruppen om datasikkerhed" den 22-10-2013. Henrik Brix har for åben skærm tilkendegivet sin grænseløse uvidenhed og mangelfulde indsigt i det han foretager sig. Henrik Brix lever i sin egen verden og har lukket sig inde i sin egen "osteklokke".

Ole Laursen

Essensen er at hvis det er 'for bøvlet' at overholde reglerne, så er det OK at lade være? Og man bestemmer selv hvor grænsen for om noget er for bøvlet går?

Hvis ikke engang den tilsynsførende myndighed kan se pointen i bureaukratiet, så der måske noget galt. Den egentlig historie her er måske hvordan der kan gå så længe uden at reglerne bliver tilpasset.

Frithiof Andreas Jensen

Essensen er at hvis det er 'for bøvlet' at overholde reglerne, så er det OK at lade være?


Det er sådan cirka det princip som er Essensen i at väre Dansk og som nu er under angreb af forbedrede processer.

Automatiseringen af gäldende lovgivning (masseovervågning, digitaliseringen ...) er et DOS-angreb mod den måde som samfundet fungerer på - nemlig for det meste på trods af lovgivningen og det tilhörende bureaukrati som man ikke har ressourcer til alligevel!

Når först politiet får kamera på jakken, så vil software analysere billederne for forbrydelser - rygere på bustoppestedet, cyklister uden lys, e.t.c. og politiet vil få en KPI på hvor mange provenu-muligheder den enkelte betjent overser.

Vi får, med andre ord, präcis den service vi betaler får. Vi blir bare ikke glade for det i längden.

Knud Jensen

»Vi har brugt databehandleraftaler tidligere, men gør det ikke længere. Med størrelsen på vores jobcenter overstiger administrationen gevinsten ved at bruge dem,« siger jobcenterchef i Brøndby, Bjarne Bo Larsen, og forklarer, at da jobcenteret skiftede en række leverandører ud, troede man ikke længere, at det var nødvendigt at have databehandleraftaler for de resterende leverandører.

Hvis det er lovpligtigt at have disse aftaler, så betyder sådan en udtalelse da at han bevidst bryder loven.

Jens Rahbek

Det ser ud til, at Det Offentlige i mange tilfælde kan bryde loven uden at dette får konsekvenser.
De fleste love er opbygget således, at der er nogle lovkrav, derefter en tilsynsmyndighed og endelig de sanktioner, der kan tages i anvendelse overfor overtrædelser.
Er det sådan, at lovgivningen a priori antager, at offentlige myndigheder overholder loven?

Albert Nielsen

Offentlige myndigheder har ingen incitamenter til at overholde landets love. De er pr. definition skyld- og ansvarsfri efter devisen '100% ansvar delt mellem 2 offentligt ansatte giver højst 1% til hver'.

Tiden er moden til en ansvarlighedslov, så up-yours-I-kan-ikke-røre-mig lovovertrædelser medfører bøde, hæfte eller fængsel til de ansvarlige, sådan som det gælder for danske statsborgere.

Lars Bjerregaard

Citat: "Vi bruger ikke oplysningerne til noget - vi bruger oplysningerne, vi får på stedet under tilsynet. Jeg ved ikke, om det vil blive opdaget, hvis indberetningerne mangler"

Herligt endeligt at have fået bekræftet, hvad man har mistænkt i mange år. Endeløse formularer med oplysninger til det offentlige ryger i et sort hul, og dem som burde blive brugt til noget, ryger samme vej. Flot!

Flemming Bjerke

Men er det ikke også et problem at det offentlige bare kan overlade til private at sørge for IT-sikkerheden? Dvs. de uddelegerer ansvaret, og meget ofte vil uddelegering af ansvar = ansvarsforflygtelse. Det hænger så sammen med at der er mange IT-ansvarlige i det offentlige som ikke synes at have den fornødne kompetance til at have ansvaret for sikkerheden. Hvad gør de så? Overlader ansvaret til konsulenter! Er dette ikke nøgleproblemet?

Log ind eller Opret konto for at kommentere