Over et år efter, at GDPR blev indført, halter det det stadig med at leve op til reglerne for håndtering af persondata i Kriminalforsorgen.
Det fremgår af et svar til Folketingets retsudvalg fra Justitsministeren og Kriminalforsorgen.
I svaret oplyser Kriminalforsorgen, at fængselsmyndighedens håndtering af databehandleraftaler ikke lever op til GDPR-reglerne. Det samme gør sig gældende for Kriminalforsorgens tilsyn med deres databehandlere.
»Det er særdeles beklageligt, at Kriminalforsorgen ikke fuldt ud lever op til kravene i databeskyttelseslovgivningen, og Kriminalforsorgen har derfor foretaget organisationsændringer og omprioriteret personaleressourcer mv. for snarest muligt at bringe den situation til ophør,« skriver Kriminalforsorgen i dokumentet til retsudvalget.
Oplysningskampagne skal sikre fornødent kendskab til GDPR
I kølvandet på Kriminalforsorgens nye konstatering af problemer med databehandleraftaler og tilsyn med databehandlere har Version2 kontaktet Kriminalforsorgen for at få svar på en række spørgsmål.
I et skriftligt svar pointerer Stine Hegelund Bertelsen, der er direktør i Center for it og Digitalisering i Kriminalforsorgen, at der er sat gang i en række projekter, som skal medvirke til, at GDPR bliver overholdt.
Hun oplyser, at der først og fremmest er sat gang i en oplysningskampagne blandt medarbejderne i fængselsmyndigheden. Kampagnen skal sikre, at alle nytilkomne og eksisterende medarbejder har det fornødne kendskab til regelsættene og kravene i GDPR.
Derudover peger it-direktøren på, at der skal laves gennemgange af Kriminalforsorgens it-kontrakter og standardbreve.
»Herudover vil vi gennemgå alle vores it-kontrakter for at sikre os, at der er indgået opdateret databehandleraftaler med alle eksterne leverandører, og vi vil gennemgå vores mange arbejdsprocesser for at sikre os, at vi altid overholder reglerne.«
»Vi vil også gennemgå vores standardbreve, så vi sikrer, at alle får den lovpligtige vejledning, og vi vil gennemgå vores eksterne samarbejdsrelationer for at sikre os, at der ikke udveksles flere personoplysninger end nødvendigt,« skriver Stine Hegelund Bertelsen til Version2.
Vagthund har før kritiseret
Det er ikke første gang, at Kriminalforsorgen har haft problemer med at leve op til GDPR.
I december 2018 udtalte Datatilsynet »alvorlig kritik« af, at Kriminalforsorgen hverken havde styr på dataansvar eller sin oplysningspligt. Derudover slækkede fængselsmyndigheden på kravene for indsigtsretten til registrerede.
Dengang beklagede Kriminalforsorgen også, at der var problemer, og fængselsmyndigheden erkendte, at indsatsen på området ikke havde været god nok.
Efter Datatilsynets kritik fra december 2018 har Kriminalforsorgen sørget for at få fordelingen af dataansvar på plads.
Derudover er der blevet tilrettet beskrivelser på Kriminalforsorgens hjemmeside i forhold til oplysningspligten, og der er blevet udarbejdet en oplysningsskrivelse til varetægtsfængslede eller dømte, som udsendes første gang, de er i kontakt med Kriminalforsorgen.
Vækker bekymring hos ansatte
Hos fagforeningen for det danske fængselspersonale vækker de fortsatte problemer bekymring. Det siger Kriminalforsorgsforeningens formand, John Hatting, til BT.
»Vi kan ikke have, at ansattes data enten flyder på nettet eller kan komme i de forkerte hænder – og da slet ikke i Kriminalforsorgen, hvor sikkerhed er et kernespørgsmål,« siger John Hatting til BT.
Han frygter, at det kan bringe de ansattes sikkerhed i fare, hvis Kriminalforsorgen ikke får rettet op på håndteringen af persondata og databehandleraftaler. Derfor opfordrer han til, at fængselsmyndigheden får styr på problemerne »så hurtigt som overhovedet muligt«.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
