Kommuners borgerservice forsømmer lovpligtig logningskontrol

6. januar 2015 kl. 06:294
Datatilsynet dumper flere borgerservicecentre, når det handler om at udføre stikprøvekontroller af datalogning. En problematisk tendens, siger tilsynet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Borgerservice har i flere kommuner problemer med at leve op til kravet om at udføre stikprøvekontrol på, hvem der tilgår borgernes personlige data. I netop offentliggjorte resultater af to inspektioner fandt Datatilsynet, at stikprøvekontrollen var mangelfuld.

Stikprøvekontrollen er påkrævet af persondataloven. Og tilfældet fra de to inspicerende kommuner er ikke enestående, fortæller kontorchef hos Datatilsynet Lena Andersen.

»Det er et gennemgående problem, at stikprøvekontrollen af logning halter hos kommunernes borgerservicecentre. Vi har set det på tidligere inspektioner, og vi ser det igen nu i vores seneste inspektioner. Det er en problematisk tendens,« siger Lena Andersen til Version2.

I slutningen af 2014 har Datatilsynet udført fem inspektioner hos borgerservice i forskellige kommuner. Det er resultatet fra to af disse, der er offentliggjort. Inspektionerne gælder Fredericia og Kalundborg Kommune.

Artiklen fortsætter efter annoncen

Af inspektionerne fremgår det, at mens Fredericia har lavet en utilstrækkelig stikprøvekontrol, så har Kalundborg ikke haft nogen overhovedet. For sidstnævnte er det vanskeligt teknisk at leve op til lovens krav.

»Kommunen oplyste under inspektionen, at det ikke er uproblematisk at gennemgå loggen, da kommunens databehandler ikke kan udskrive det i et læsbart format,« lyder det i resultatet af inspektionen i Kalundborg.

Men som databehandler er det kommunens ansvar at sørge for, at stikprøvekontrollen kan foregå, lyder det fra Datatilsynet.

»Troede, vi levede op til reglerne«

Fredericia Kommunes digitaliseringschef, Lisbet Holten Lambert, ærgrer sig over, at inspektionens resultat er faldet ud, som den er.

»Vi troede faktisk, at vi levede op til reglerne. Men det gjorde vi altså ikke,« forklarer hun.

Loven kræver, at borgerservicemedarbejderne med jævne mellemrum udsættes for en stikprøve. Her skal man se på en håndfuld opslag fra dagene inden kontrollen og bede medarbejderen forklare, hvad formålet med opslagene har været.

I Fredericia Kommune har man i stedet udført stikprøver for at se, om der har været uautoriseret adgang til de enkelte sager, som borgerservicecenteret arbejder med.

»Vi har haft stikprøvekontrol, men ikke på den måde, som Datatilsynet vil have det,« siger Lisbet Holten Lambert.

Har vejledningen været uklar?

»Jeg ved ikke, om vejledningen har været uklar, men vi har i hvert fald ikke forstået den på samme måde. Nu vil vi selvfølgelig ændre vores praksis, så den lever op til kravene.«

Kontrol skal præventivt forhindre misbrug

Loggen har flere formål, forklarer Lena Andersen.

»For det første kan den bruges til at efterforske eventuelt misbrug. Hvis for eksempel oplysninger fra kommunens systemer havner i en avis, og det er noget, som ikke burde være der. Så kan man måske finde ud af, hvilken medarbejder der har misbrugt sin adgang til systemet,« siger Lena Andersen.

Men loggen skal også fungere præventivt.

»Stikprøvekontrollen skal være med til at sikre, at loggen faktisk bliver brugt, og at medarbejderne er klar over, at det kan blive kontrolleret, hvad man har kigget på i systemerne,« siger kontorchefen og tilføjer, at den manglende kontrol ikke kan sige noget om den generelle datasikkerhed hos kommunen.

»Man kan ikke slutte, at sikkerheden sejler hos kommunen, fordi stikprøvekontrollen mangler. Kontrollen er en særlig henstilling, vi har givet til borgerservicecentre, men det er en af flere brikker, som skal være på plads for at beskytte borgernes persondata.«

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
6. januar 2015 kl. 14:01

Jeg synes, at Datatilsynet skal tage fat i CSC.

1
6. januar 2015 kl. 13:56

Borgerne skal selvfølgelig kunne se hvem der har haft adgang til deres data, hele tiden og hver eneste gang. Noget lemfældig stikprøvekontrol som ikke engang fungerer (og når der ikke er ingen konsekvenser for dette kommer den heller aldrig til det) beskytter højst nogen "kendte".

3
6. januar 2015 kl. 15:17

Borgerne skal selvfølgelig kunne se hvem der har haft adgang til deres data, hele tiden og hver eneste gang.

Det vil også være interessant, men der er (mindst) to steder, hvor den direkte stikprøvekontrol er nødvendig:

  1. borgeren kan ikke etablere den nødvendige forbindelse til en aktuel sagsbehandling. At jeg har børn i kommunens pasningsordninger, betyder ikke at det er frit slag for enhver i "Børn og Unge" forvaltningen, og end ikke til "min" sagsbehandler udenfor kontekst af et konkret sagsbehandlingsmæssigt behov.

  2. Der kan være situationer, hvor det indledningsvist ikke er hensigtsmæssigt at borgeren har kendskab til at sagsbehandling er igangværende; her er forvaltningens egenkontrol endnu vigtigere.

Og så skal man ikke undervurdere betydningen af, at medarbejder og ledelsen får en mulighed for at diskutere, hvad der er relevant og nødvendigt, ud fra nogle konkrete eksempler.

4
6. januar 2015 kl. 22:24

2) Der kan være situationer, hvor det indledningsvist ikke er hensigtsmæssigt at borgeren har kendskab til at sagsbehandling er igangværende; her er forvaltningens egenkontrol endnu vigtigere.

Det kan du selvfølgelig have ret i.

Men adgang til at se hvem der har haft adgang til ens data burde være en menneskeret.

Hvis der er en grund til at foretage tilgang skjult af den ene eller anden årsag, burde der kun kunne laves en tidsbegrænset spærring.

Fx. hvis børn&unge er ved at undersøge en familie, kan jeg akseptere at der er en forsinklse på fx 1 måned.

Og ja. Jeg er helt klar over at en måned godt kan være meget kort tid i det offentlige system, men hvis ikke de kan grave nok smuds frem indenfor kort tid til at komme til en sanktion, mener jeg at forvaltningen har et helt andet problem det skal tage sig af.

Når der så er kommet en afgørelse, SKAL spærringen fjernes.

/Henning