Kommuner: Spild af tid at overholde persondataloven

Det vil give for meget administration i kommunerne, hvis de skal overholde persondataloven og lave databehandleraftaler med alle de leverandører, der håndterer borgernes personfølsomme oplysninger, mener it-formand i Kommunernes Landsforening (KL), som foreslår en mulig ændring af loven.

Det er for bøvlet for kommunerne at skulle leve op til persondataloven i praksis, hvis man skal tro formanden for Foreningen for de Kommunale It-chefer, KIT@, Henrik Brix.

Udmeldingen kommer efter, at Version2 har afsløret, at en række kommuner bryder loven ved ikke at holde tilstrækkeligt tilsyn med it-sikkerheden hos en række leverandører til kommunernes jobcentre.

Leverandørerne behandler personfølsomme oplysninger om borgere i aktivering, og derfor er kommunerne blandt andet forpligtede til at indberette leverandørerne til Datatilsynet og lave selvstændige databehandleraftaler med dem for at sikre, at de opbevarer og behandler borgernes oplysninger sikkert. Dette forsømmer flere kommuner, heriblandt Brøndby og Glostrup Kommune, og de er sandsynligvis ikke de eneste.

Læs også: Kommuner bryder loven: Intet tilsyn med borgeres personfølsomme oplysninger

»Jeg tror godt, der kan findes andre tilfælde i kommunerne, hvor man ikke har databehandleraftaler med de små leverandører,« siger Henrik Brix til Version2 og fortæller, at jobcentrene ofte samarbejder med et stort antal små private leverandører, der nogle gange kun giver hjælp til enkelte borgere.

»Alt det her giver ikke nødvendigvis øget sikkerhed. Hvis man forestiller sig, at alle 98 kommuner skulle ud og lave databehandleraftaler på alle de små og store leverandører, så er det en kæmpe ressourcemæssig opgave,« siger han.

Venstre: Vi vil ændre loven, hvis den er for bureaukratisk

Selvom kommunerne overtræder persondataloven, så venter der dem ikke andet end en løftet pegefinger fra Datatilsynet. Det gælder også Københavns Kommune, der efter Version2’s henvendelse, har måttet tilmelde flere af dens private leverandører til Datatilsynet.

Det har fået Socialistisk Folkeparti op af stolen og kræve, at Datatilsynet skal være i stand til at udskrive bøder til de myndigheder, der ikke passer ordentlig på borgernes oplysninger og bryder persondataloven.

Også hos Venstre, ser man det som et problem, at Datatilsynet ikke kan gøre mere:

»Det er paradoksalt, at kommunerne kan bryde persondataloven uden at risikere noget andet end en løftet pegefinger,« siger Venstres retsordfører Karsten Lauritzen til Version2 og fortsætter:

»Jeg mener personligt, at vi bliver nødt til at give Datatilsynet flere egentlige inspektioner af kommunerne, men også nogle større sanktionsredskaber,« siger han uden dog at kunne sige, hvad han konkret mener, disse sanktionsredskaber skulle være.

Samtidig spiller han bolden over til kommunerne:

»Hvis der er noget i lovgivningen, der ikke giver mening og øger bureaukratiet uden at øge datasikkerheden, så er jeg indstillet på at lave det om. Men KL må komme med det forslag, man kan ikke bare ignorere lovgivningen,« siger han.

Datatilsynet har tidligere oplyst til Version2, at det ikke bruger kommunernes indberetninger af deres databehandlere til noget. Men når det kommer til databehandleraftalerne, så får piben en anden lyd:

»Det, vi interesserer os for, når vi kommer ud på kontrolbesøg, er, om kommunerne har databehandleraftaler, og om de sørger for, at sikkerheden er i orden hos databehandlerne,« siger kontorchef i Datatilsynet Lena Andersen.

Læs også: Offentlige myndigheder sender personfølsomme oplysninger med ukrypteret mail til forkerte modtagere

Fra KL er budskabet dog, at både kravet om databehandleraftaler og om at indberette databehandlerne til Datatilsynet bør ændres:

»Der er mere behov for at ændre loven eller vejledningen til den end at ændre praksis. Det er spild af tid, at vi skal lave særskilte aftaler. Der kunne man jo sige, at når man leverede databehandling til det offentlige, så var man i stedet automatisk forpligtet til at leve op til sikkerhedskravene i loven,« siger Henrik Brix fra KL.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Juul Mortensen

Det er jo en af omkostningerne ved, at outsource opgaverne. Har man glemt dette ved budgetteringen? Helt ærligt er de regler til for, at beskytte borgerne, hvis interesser det offentlige egentligt bør varetage, idet det netop er disse borgere der via skatten betaler for eksistensen af det offentlige!

Jesper Lund

»Der er mere behov for at ændre loven eller vejledningen til den end at ændre praksis. Det er spild af tid, at vi skal lave særskilte aftaler. Der kunne man jo sige, at når man leverede databehandling til det offentlige, så var man i stedet automatisk forpligtet til at leve op til sikkerhedskravene i loven,« siger Henrik Brix fra KL.

Gad vide hvem der skal føre tilsyn med at databehandlerne lever op til sikkerhedskravene i loven? I dag har den dataansvarlige en tilsynsforpligtelse med sine databehandlere, men det er sikkert også for besværligt for Henrik Brix, der ikke magter at overholde landets love.

Det ender sikkert med at databehandlerne, hvadenten de befinder sig i Middelfart eller Dublin (tænk "amerikansk cloud" her), skal føre tilsyn med sig selv. Det er reelt det samme som at sige at databehandlere, der leverer til det offentlige, overholder sikkerhedskravene fordi det står jo i loven. Det ultimative cirkulære argument!

Det er nonsens, men vi har skam fortilfælde for den slags nonsens i dansk offentlig IT-sikkerhedsforståelse. NemID er sikkert fordi det står i loven at NemID er sikker digital signatur.

Mads Madsen

Udbyder man visse tjenester og kommunikationsnet på et kommercielt grundlag skal man logge og have terrorberedskab.

Så sæt dog PET på opgaven med at overvåge andre myndigheder.

Hvad der er godt nok til små virksomheder er vel også godt nok til kommuner?

Mads Bendixen
Mikael Ibsen

De data vi afleverer til offentlige databaser, må i praksis betragtes som offentligt tilgængelige for alle med interesse herfor.

Den IT- verden, vi lever i, rummer meget store administrative fordele, men prisen - for såden en er der altid - er, at det, der kaldtes privatlivets fred, ikke eksisterer mere , eller i bedste fald kun på lånt tid.

Stærkt medvirkende hertil er opfattelsen af borgerens plads i forhold til det offentlige.

Offentlige institutioner er grundlæggende skabt til at servicere borgere og samfund, men har ofte, i ly af svage ministre og regeringer, og dermed utilstrækkelig kontrol, kunnet udvikle og udvide deres rolle til at være de, som skal serviceres, og i øvrigt sætter reglerne selv, kun bremset af boulevardpressen, når det bliver for groft.

Den holdning til borgerne er næppe befordrende for respekten for den enkelte borgers ret til at have sine private data i fred - og ordentligt beskyttet.

Det niveau af databeskyttele, som er nødvendigt i dag med højtudviklede hackerteknikker og ambisiøse hackere, er på ingen måde nogen nem opgave, men det berettiger altså ikke til ligegyldighed og negligering af opgaven - eller omskrivning af love og bøjning af regler, for at slippe nemmere igennem.

Lars Christensen

Det er en pudsig holdning som KL lægger for dagen. Der er næppe tvivl om at IT gør mange processer billigere - men.. Det er grænsende til stupiditet når helt simple regler eller "rettidig omhu" overskrides næsten hver eneste gang det offentlige blot beskæftiger sig en smule med IT.

Såfremt KL's ansvarlige (IT-formanden)for danske kommuners håndtering af IT, mener at reglerne er for dårlige - så burde den valgte løsning om ikke at sikrer borgernes mest følsomme informationer være et soleklart eksempel på et "No Go"

Log ind eller Opret konto for at kommentere