Borgerservice har i flere kommuner problemer med at leve op til kravet om at udføre stikprøvekontrol på, hvem der tilgår borgernes personlige data. I netop offentliggjorte resultater af to inspektioner fandt Datatilsynet, at stikprøvekontrollen var mangelfuld.
Stikprøvekontrollen er påkrævet af persondataloven. Og tilfældet fra de to inspicerende kommuner er ikke enestående, fortæller kontorchef hos Datatilsynet Lena Andersen.
»Det er et gennemgående problem, at stikprøvekontrollen af logning halter hos kommunernes borgerservicecentre. Vi har set det på tidligere inspektioner, og vi ser det igen nu i vores seneste inspektioner. Det er en problematisk tendens,« siger Lena Andersen til Version2.
I slutningen af 2014 har Datatilsynet udført fem inspektioner hos borgerservice i forskellige kommuner. Det er resultatet fra to af disse, der er offentliggjort. Inspektionerne gælder Fredericia og Kalundborg Kommune.
Af inspektionerne fremgår det, at mens Fredericia har lavet en utilstrækkelig stikprøvekontrol, så har Kalundborg ikke haft nogen overhovedet. For sidstnævnte er det vanskeligt teknisk at leve op til lovens krav.
»Kommunen oplyste under inspektionen, at det ikke er uproblematisk at gennemgå loggen, da kommunens databehandler ikke kan udskrive det i et læsbart format,« lyder det i resultatet af inspektionen i Kalundborg.
Men som databehandler er det kommunens ansvar at sørge for, at stikprøvekontrollen kan foregå, lyder det fra Datatilsynet.
»Troede, vi levede op til reglerne«
Fredericia Kommunes digitaliseringschef, Lisbet Holten Lambert, ærgrer sig over, at inspektionens resultat er faldet ud, som den er.
»Vi troede faktisk, at vi levede op til reglerne. Men det gjorde vi altså ikke,« forklarer hun.
Loven kræver, at borgerservicemedarbejderne med jævne mellemrum udsættes for en stikprøve. Her skal man se på en håndfuld opslag fra dagene inden kontrollen og bede medarbejderen forklare, hvad formålet med opslagene har været.
I Fredericia Kommune har man i stedet udført stikprøver for at se, om der har været uautoriseret adgang til de enkelte sager, som borgerservicecenteret arbejder med.
»Vi har haft stikprøvekontrol, men ikke på den måde, som Datatilsynet vil have det,« siger Lisbet Holten Lambert.
Har vejledningen været uklar?
»Jeg ved ikke, om vejledningen har været uklar, men vi har i hvert fald ikke forstået den på samme måde. Nu vil vi selvfølgelig ændre vores praksis, så den lever op til kravene.«
Kontrol skal præventivt forhindre misbrug
Loggen har flere formål, forklarer Lena Andersen.
»For det første kan den bruges til at efterforske eventuelt misbrug. Hvis for eksempel oplysninger fra kommunens systemer havner i en avis, og det er noget, som ikke burde være der. Så kan man måske finde ud af, hvilken medarbejder der har misbrugt sin adgang til systemet,« siger Lena Andersen.
Men loggen skal også fungere præventivt.
»Stikprøvekontrollen skal være med til at sikre, at loggen faktisk bliver brugt, og at medarbejderne er klar over, at det kan blive kontrolleret, hvad man har kigget på i systemerne,« siger kontorchefen og tilføjer, at den manglende kontrol ikke kan sige noget om den generelle datasikkerhed hos kommunen.
»Man kan ikke slutte, at sikkerheden sejler hos kommunen, fordi stikprøvekontrollen mangler. Kontrollen er en særlig henstilling, vi har givet til borgerservicecentre, men det er en af flere brikker, som skal være på plads for at beskytte borgernes persondata.«