Leverandører presser kommuner til at indgå databehandleraftaler - truer med at opsige samarbejde

Illustration: Lasse Gorm Jensen
Kommuner og leverandører er ofte uenige om, om der er brug for en databehandleraftale. Flere kommuner har følt sig presset af leverandører og påtager sig unødvendigt dataansvar.

Databehandleraftaler er for alvor kommet på dagsordenen efter indførelsen af GDPR, og udsigten til store bøder har betydet, at der er kommet større fokus på at placere ansvaret for data i ethvert leverandørsamarbejde.

I kommunerne oplever man, at leverandørerne insisterer på at få underskrevet databehandleraftaler - også selvom der i kommunernes optik ikke er brug for dem.

Når der underskrives en databehandleraftale, ligger dataansvaret hos kunden - kommunen - der altså skal stå til regnskab i tilfælde af databrud.

Til gengæld indebærer databehandleraftalerne også en såkaldt instruktionsbeføjelse, der betyder, at kunden kan stille krav til sikkerheden hos leverandøren.

Men i flere kommuner har man set, at leverandører stiller krav om databehandleraftaler, selvom kunden ikke har mulighed for at stille krav til sikkerheden, fordi der er tale om et standardprodukt.

»Leverandøren kan være interesseret i at have en databehandleraftale, fordi det økonomiske ansvar i tilfælde af databrud i så fald ligger hos kommunen. Men det, der så bliver interessant, er, når vi render ind i de situationer, hvor vi reelt set ikke har nogen instruktionsbeføjelse, fordi løsningen bliver leveret ‘as is’,« siger Jens Kjellerup, der er digitaliseringschef i Ballerup Kommune.

I flere tilfælde har Ballerup Kommune haft leverandører, som pludselig kræver en databehandleraftale som betingelse for fortsat samarbejde, selvom kommunen ikke mener, at den har nogen mulighed har for at påvirke sikkerheden i produktet.

Det gælder blandt andet e-boks.

Adskillige leverandører har truet med at lukke for adgangen til deres tjenester, hvis der ikke underskrives databehandleraftaler, og i flere tilfælde har Ballerup Kommune underskrevet databehandleraftaler, som man ikke mener er retvisende, fordi man ikke har kunnet undvære leverandørernes produkter.

Håndværkereksemplet

Også i Favrskov Kommune kan man nikke genkendende til problematikken.

Her har Pia Pehrssson, der er kommunens DPO, haft mange diskussioner med leverandører, som kræver databehandleraftaler, selvom det ifølge hende virker åbenlyst, at virksomhederne selv er dataansvarlige.

»Et eksempel var et Internationalt firma, der laver høreapparater. En europæisk koncern, der var meget stålsat på, at de skulle have denne her databehandleraftale, og de kunne ikke håndtere os eller sende os regninger eller noget som helst, hvis ikke vi havde en databehandleraftale,« siger hun.

»De truede simpelthen med at opsige samarbejdet med os.«

Ifølge Datatilsynets vejledning skal der ikke ligge en databehandleraftale, hvis samarbejdet mellem kunde og leverandør “først og fremmest” handler om noget andet end behandling af personoplysninger - som for eksempel en håndværkerydelse. Heller ikke selvom kunden sender oplysninger til leverandøren, der er nødvendige for at kunne løse opgaven.

Derfor afviste Pia Pehrsson og Favrskov Kommune da også høreapparatleverandøren.

»Vi har nogle borgere, der skal have et høreapparat, så vi sender data om borgerne videre til leverandøren. Men de er selv ansvarlige for, hvad de gør herefter, for det er deres speciale. De leverer høreapparater, og så må de sende os regningen. De er ansvarlige for deres del, og vi er ansvarlige for vores del.«

Håbløst

Hanne Marie Motzfeldt er jurist og lektor ved Center for Informations- og Innovationsret ved Københavns Universitet, og hun er også stødt på konflikterne om, hvem der bærer dataansvaret.

»Det er helt rigtigt en problematik, som jeg har set en del eksempler på,« siger hun.

Eksemplet med e-boks undrer hende, fordi databehandleraftalen ikke giver mening, når den enkelte kommune som kunde ingen indflydelse har på, hvordan data behandles.

»E-boks er jo bare helt håbløst. Her vil leverandøren bestemme, hvordan kommunen fører tilsyn i en konstruktion, hvor kunden ikke har et reelt valg. Det er ikke en sund konstruktion. Det burde være så udtrykkeligt og virkelighedsnært lovreguleret, at kommunerne kunne være helt trygge i forhold til, hvad de skal – og ikke skal – stå inde for.«

E-boks er ikke vendt tilbage med en kommentar inden deadline for denne artikel.

Du kan læse mere om problematikken på Ingeniørens pro-medie DigiTech. Her fortæller kommunerne blandt andet om, hvordan de har fået leverandører til at afvige fra kravet om databehandleraftaler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Juul

Er det ikke Digitaliseringsstyrelsen der betaler for E-Boks løsningen (kontraktansvarlig)? I så fald er kunden vel Digitaliseringsstyrelsen og det er sandsynligvis også Digitaliseringsstyrelsen, der er overordnet dataansvarlig.
Postnord er jo heller ikke dataansvarlig for de data der er i brevene/pakkerne.

Michael Sall Timm

Det her er jo et generelt problem, Der findes et hav af platform og service's, hvor man som kunde køber et abonement eller indgår kontrakt med udbyderen.
Det er kunden der benytter platformen og i givet fald indsamler data.
der er dataansvarlig, og det er den data ansvarlige der skal skrive databehandleraftalen(DBA) instruktsen af hvor dan data må behandles, aftalen som databehandleren skal skrive under på

Når man på den måde lejer sig ind på en platform kan man som kunde ikke forlange at levrendøren, laver om på sine interne processer mv.
...
Jeg har set det løst ved at Kunden skriver en DBA med alle de vigtige hoved punkter, hvor der så er vedlagt en DPA - Data Processing Agreement.
...
Det her er et af de punkter hvor GDPR ikke står mål med virkeligheden..
en SAAS platforms udbyder med 1000 forskellige kunder kan jo ikke have 1000 forskellige DBA'r med individuelle krav... Så dør virksomheden i administration .....

Bjarne Nielsen

Det her er et af de punkter hvor GDPR ikke står mål med virkeligheden..

Tjo, jeg vil faktisk nærmest sige, at det kan være en af GDPRs store successer, for det har bragt en konstruktion frem i lyset, hvor ansvaret bliver væk.

Vi har set alt for mange situationer, hvor kunderne ikke har kompetencerne eller tyngden til at holde leverandøren i ørerne, og hvor leverandøren skubber ansvaret over på kunderne. Det går simpelthen ikke.

en SAAS platforms udbyder med 1000 forskellige kunder kan jo ikke have 1000 forskellige DBA'r med individuelle krav... Så dør virksomheden i administration .....

Der er to vinkler på dette:

  1. Kan ansvaret ikke gives til platformen, så må man fravælge platformen. Det er ikke den rette løsning til problemstillingen.
  2. Kan den, så må platformen leve op til sit ansvar i stedet for at prøve at tørre det af på andre.

Lectio er et eksempel på dette:

Birgit Kleis fastslår på forhånd, at ansvaret for oplysninger om eleverne ligger hos det enkelte gymnasium. Og hvis databehandleren – Lectio og Macom – ikke tilbyder et system, der lever op til gymnasiernes ønsker og de fastsatte regler, må gymnasierne finde et andet system.

https://www.version2.dk/artikel/datatilsynet-undersoeger-gymnasie-platfo...

DAMD/Sentinel er et andet eksempel på, at ansvaret bekvemt blev skubbet over på den svage part.

Ansvaret må ikke blive væk, bare fordi at der ikke er nogen, som vil have det - og det skal placeres der, hvor beslutningerne bliver truffet.

Johnny Daugaard

Man kan vel også sige at konsekvenserne ved overtrædelse af GDPR-bestemmelserne er så omfattende at man som leverandør kan vælge mellem

  1. enten at etablere et kontrolapparat, som kunderne i de fleste tilfælde ikke ønsker. Fordi det enten kræver en adgang til persondata eller fordi det kraftigt forøger omkostningen for kunden - eller begge dele eller
  2. At lave en databehandleraftale, hvor kunden påtager sig ansvaret.

Det er pest eller kolera. Og stat og kommuner vælger altid pengene fordi offentlige myndigheder i retssystemet igen og igen har vist sig at være ansvarsfri. Offentlige myndigheder kan i modsætning til private virksomheder påberåbe sig at man ikke har kunnet følge loven af økonomiske årsager.

Hans Nielsen

Det er pest eller kolera.


Nej det er peronlig databekyttelse som der bare ikke har været taget hensyn til før, da det stor set var gratis at overtræde loven.

At noget har været billigt, fodi man ikke har overholdt regler, de også næsten samme regler som har været gældene i over 20 år. Det har bare betydet at de lovlydige firmaer, før han konkuret med firmaer, som kan sammelignes med dem, som kke betalter skat eller moms.

Det ser jo også ud til, at der kun er de viksomheder som tuder, som før har overtrådt loven, og som ikke har brugt de mindst 3-4 år, hvor de har haft mulighed for at implamentere den nye direktiv.

Så tag en tudekiks, overhold loven, eller find noget andet at lave.

Henrik Biering Blogger

Er det ikke Digitaliseringsstyrelsen der betaler for E-Boks løsningen (kontraktansvarlig)? I så fald er kunden vel Digitaliseringsstyrelsen og det er sandsynligvis også Digitaliseringsstyrelsen, der er overordnet dataansvarlig.


Jo, det virker absurd, hvis kommunernes relation til E-boks ikke er omfattet af en pendant til denne aftale, der lægger ansvaret for indgåelse af databehandleraftaler på Moderniseringsstyrelsen og hermed fritager de benyttende statslige myndigheder og selvejende institutioner for at skulle indgå lokale databehandleraftaler med leverandører, der er valgt af staten.

Johnny Daugaard

@Hans Nielsen ....
Det er muligt at lovgivningen ikke er ændret voldsomt; men fortolkningen af den er voldsomt ændret og sanktionerne potentielt ødelæggende.
Som et led i implementeringen af GDPR så har KomBit f.eks. udarbejdet et 400 siders dokument, som samtlige kommuner har fået udleveret og som de skal ansætte personer for at forvalte.
Tilsvarende kræver forvaltning iht den nye fortolkning store investeringer og tilsvarende store løbende omkostninger i mange virksomheder - det er beløb, som kun kunderne kan betale.
Så ingen tudekiks her. Blot en konstatering af at der kun er en til at betale regningen. Og i den sammenhæng så kan kommunerne vælge at betale en betydelig større regning til sine leverandører og så skære på ydelserne andre steder - eller lave en stort set ansvarsfri databehandleraftale.

Hans Nielsen

voldsomt ændret og sanktionerne potentielt ødelæggende.


Og ikke et øjeblik for tideligt, hvis man ikke kan finde ud af at passe på mine/vores data, som en afleveringer af næsten samlige sunhedsdata på den kinesikse ambasade, uden kryptereing.

Så bør der sanktioneres voldsomt og ødelæggende.

I stedet for at flabe om potentielt ødelæggende sanktioner, se at få styr på tingene, det koster ikke meget extra at have styr på sikkehed hvis det er tænkt ind fra starten. Og den extra arbejdsbyrde, er bare noget som mange har snydt sigt uden om i årtier, på grund af manglen sanktionér, så vores alle samennes data er spredt for alle vinde gentagende gange. Med også meget stor genre for de mennessker som på grund af dette er udsat for identitet tyveri, eller har set deres sygedomme og personlige oplysninger ligende frit tilgængeligt.

Man kan måske bare starte med at ryde op og se på om de mange data man indsamler i det hele taget skal gemmes. At det før har været nemt og billigt at gennem alt mellem himmel og jord, for det har været nemt og man måske på et eller andet tidspunkt kunne bruge det til noget. Det er jo ikke det samme som at det har været rigtigt. Så samtidigt med at man får styr på GDPR, så får man jo også styr på sine data.

Men du har da ret. Hvis man ikke har haft dette fokus før, så kan det være dyrt og besvæligt at få ryddet op, og få tingene lavet rigtigt.

Jeg vil bare opfordre til at komme igang, hvis man synes det er besværligt nu, så vent til næste omgang. Når loven bliver strammet, når man ser hvordan feks. facebook har opført sig. Eller at safehabor afløseren bliver stoppet. Så alt persondata, personale og dagabehandliing skal være inden for EU.

Jeg tror ikke at nogle får store børder, selv om de bliver hacket, eller måske har været lidt uheldigt. Hvis de ellers har været dygtige, passet deres arbejde og har overholdt intentioner i loven.

At man ikke "gider" at overholde GPDR, ser jeg mere som sammeliglige med dem, der heller ikke gider at overholde skattelovgivning eller andre love fordi de ikke passer dem. I en stor organtion som arbejder med komunner, og som har rigtigt mange persondata fra os alle sammen. Der bør der være resurser, også afsat til sikkerhed også på persondata området.

Det eneste nye er, at det kan bliver dyre at "spare" på ikke at overholde lovgivning.


Som et led i implementeringen af GDPR så har KomBit f.eks. udarbejdet et 400 siders dokument, som samtlige kommuner har fået udleveret og som de skal ansætte personer for at forvalte.

Og du synes at 400 sider er mange, og at det er for dårligt at de nu skal ansætte personer til at søge for at overholde den gældende lovgivening.

Igen tude kiks - Prøv at se på bistand, akasse og sygedagpenge loven. og se på hvor mange mennesker der er ansat der, for at overholde lovgivening. Her er der flere tusinde sider, som ændres meget tit.
Tror du skal finde dig et andet arbejde, hvis du synes at GDPR er besærligt og bruger for mange resurser.
Synes ikke du har en tilgang til overholdelse af love og regler, som jeg gerne ser hos dem som forvalter mine data. Du kunne måske have fået et job på Ringsted Sygehus , der synes de også, at man kan klipe en hæl og hakke en tå.

https://www.dr.dk/nyheder/indland/over-700-kvinder-fik-mangelfuld-kraeft...

Niels Madsen

I øjeblikket har jeg ventet i mere end tre måneder på at få svar fra min kommune vedr. mit barns ret til sundhedpleje. Bagrunden er at jeg I november 2018 blev bedt om at give samtykke til at mit barn måtte modtage den almindelige sundhedpleje i folkeskolen. Men i samtykkeerklæringen var der endvidere følgende fomulering:

"Derudover kan data blive brugt til at skabe generel viden om børns sundhed og trivsel i kommunen, indgå i forskningsprojekter efter aftale med kommunen m.v."

Nu er tilbud om sundhedspleje til skolebørn jo en ydelse som kommunen er forpligtet til at tilbyde, og jeg har efter henvendelse til Datatilsynet fået at vide at det ikke umiddelbart er tilladt at sammenkoble samtykke om databehandling til eet bestemt formål med krav om at data så også skal kunne anvendes til et andet formål. Det jeg ikke kan acceptere er at kommunen forsøger at kræve samtykke til disponere over mit barns data helt uspecificerede "forskningsprojekter" ... "m.v.".

Eftersom kommunen bruger web-løsningen "sundhedsvejen.dk" lavet i samarbejde med NOVAX A/S, så speculerer jeg på om det måske kunne være pågældende firma som i dette tilfælde har en finger med i spillet mht. udformningen af samtykkeerklæringen. -Men jeg ved det ikke.

Dog er min tålmodighed nu udløbet efter ca. 10 forsøg på at få oplyst om mit barn kan få sit lovfæstede sundhedplejetilbud, UDEN at skulle give samtykke til uspecficeret 3. part brug af barnets følsomme data. Derfor offentliggør jeg hele samtykkeerklæringen nedenfor, så andre kan se hvad børn udsættes for, hvis de skal have de ydelser som de har ret til:


Samtykke Skoleundersøgelse(0)(1)(1)(1)
Samtykke til skolesundhedsplejens generelle tilbud.
Frederiksberg Kommune yder efter Sundhedslovens Kapitel 36, forebyggende sundhedsydelser til børn og unge i den undervisningspligtige alder.
Da den kommunale sundhedspleje er et frivilligt tilbud, skal du som forældre give et skriftligt samtykke til, at dit barn må deltage i sundhedsplejens generelle tilbud, som gælder for hele skoleforløbet. I den forbindelse vil Frederiksberg Kommune behandle personoplysninger om dit barn. Du kan læse mere herom i ”Information om behandling af personoplysninger”. Oplysninger om Sundhedsplejens generelle tilbud kan læses på Frederiksberg Kommunes hjemmeside.
Tilbuddet omfatter for tiden følgende ydelser:

• 0. klasse: Indskolingsundersøgelsen. En sundhedssamtale med sundhedsplejersken på skolen, hvor l deltager sammen med jeres barn. Der tages udgangspunkt i et elektronisk spørgeskema til barnet og et til forældrene, som I udfylder inden samtalen. Jeres barn vejes og måles, får lavet syns- og høreprøve, samt en motorisk screening.
• 1.klasse: Sundhedssamtale med sundhedsplejersken på skolen, hvor jeres barn vejes og måles.
• 4. klasse: Sundhedssamtale med sundhedsplejersken på skolen, hvor jeres barn vejes og måles.
• 7. klasse: Sundhedssamtale med sundhedsplejersken på skolen. Der tages udgangspunkt i et elektronisk spørgeskema som barnet udfylder inden samtalen. Jeres barn får lavet synsprøve.
• 9. klasse: Udskolingsundersøgelse. En sundhedssamtale mellem børne- og ungelægen og den unge som tager udgangspunkt i et elektronisk spørgeskema som den unge udfylder før samtalen. Den unge vejes, måles, får lavet syns-og høreprøve.
På øvrige klassetrin 2.,3., 5., 6. og 8. klasse tilbydes undervisning i relevante sundhedsrelaterede emner i klassen. Undervisningen kan tage udgangspunkt i emner som venskab, pubertet. seksuel sundhed, mad, hygiejne, rygning, alkohol m.v.

Hvis det ud fra en sundhedsfaglig vurdering skønnes nødvendigt, kan børn og unge tilbydes opfølgende besøg efter konkret aftale med forældremyndighedsindehaveren(e). Konstateres der ved undersøgelserne behov for egentlig behandling eller yderligere undersøgelser orienteres hjemmet herom, med opfordring til at kontakte egen læge, speciallæge eller samarbejdspartnere på skolen.

Frederiksberg Kommune fører journal efter autorisationslovens kapitel 6 og indberetter efter Sundhedslovens Kapitel 60 sundhedsoplysninger til de centrale sundhedsmyndigheder.

Oplever sundhedsplejersken eller børne- og ungelægen, efter kontakt med klassens elever, at klassen har generelle udfordringer, drøftes disse på generelt niveau med klassens lærerteam, for at være med til at sikre at klassen trives. Dit barns skole vil i den forbindelse kunne se rapporter på klasse-, årgangs- og skoleniveau, men det vil ikke være muligt at se personoplysninger der kan identificere det enkelte barn. Derudover kan data blive brugt til at skabe generel viden om børns sundhed og trivsel i kommunen, indgå i forskningsprojekter efter aftale med kommunen m.v.

Samtykke gives til, at modtage forebyggende sundhedsydelser fra Frederiksberg Kommunes sundhedpleje som beskrevet ovenfor. I forbindelse hermed vil Frederiksberg Kommune behandle personoplysninger om dit barn som beskrevet i "Information om behandling af personoplysninger" som ligger på Sundhedsvejen, sammen med pjecen "Sundhedsplejersken på skolen".
Samtykke gives til, at sundhedssamtalerne tager udgangspunkt i elektroniske spørgeskemaer, som udfyldes før samtalen. På individniveau kan oplysningerne alene tilgås af sundhedsplejen og behandles som beskrevet i " Information om behandling af personoplysninger"

Samtykket kan til enhver tid skriftligt tilbagekaldes ved at sende en mail til sundhedstjenesten@frederiksberg.dk

Id: 329174, version: 0

Anne-Marie Krogsbøll

Eftersom kommunen bruger web-løsningen "sundhedsvejen.dk" lavet i samarbejde med NOVAX A/S, så speculerer jeg på om det måske kunne være pågældende firma som i dette tilfælde har en finger med i spillet mht. udformningen af samtykkeerklæringen. -Men jeg ved det ikke


Puh, den er godt nok grim, Niels Madsen. Endnu en skadale på vej, frygter jeg. Dejligt, hvis Version2 følger op.

Mht. Novax så har jeg haft ubehagelige oplevelser med det firma i forbindelse med et forsøg på at opklare uautoriseret adgang til mine sundhedsoplysninger fra en speciallæges side - via Novax's journalløsning. Det virkede ikke som om, de syntes, at det ragede mig, hvad der skete med mine sundhedsdata. Så god fornøjelse med at forsøge at opklare Novax' rolle....

Johnny Daugaard

@Hans Nielsen... Jeg tror jeg bruger for mange ord her, så lad mig gøre det pædagogisk.
Hver eneste af de 98 danske kommuner skal vælge mellem
1. at betale for GDPR og nedlægge 10 plejehjemspladser. ..... eller
2. at underskrive en databehandleraftale, som ingen konsekvenser har for kommunen.
Alt i kommunalt regi drejer sig i dag om penge.

Bjarne Nielsen

Hver eneste af de 98 danske kommuner skal vælge mellem
1. at betale for GDPR og nedlægge 10 plejehjemspladser. ..... eller
2. at underskrive en databehandleraftale, som ingen konsekvenser har for kommunen.

Hmm.

Hver eneste af de 98 danske kommuner skal vælge imellem:
1. at overholde færdselsloven og nedlægge 10 plejehjemspladser. .....eller
2. at køre med 120 km/t på småveje og når der skydes genvej via lukkede stisystemer, og så undgå besværet med at skulle indkøbe flere biler og ansætte flere hjemmehjælpere end nødvendigt.

Der er kun en til at betale regningen.

Henriette Juul Riishøj

Hej
Jeg tillader mig at blande mig i debatten vedr databehandleraftaler da jeg selv sidder midt i dem.

Rummer et system personoplysninger skal der som udgangspunkt ligge en databehandleraftale. Rummer et system et log in med brugernavn og password - skal der ligeledes ligge en.

I en kommune er der der ca 500 fagsystemer samt diverse pædagogiske værktøjer der anvender Unilogin (hertil også databehandleraftaler) og apps til diverse formål.

Herunder også diverse integrationer mellem løsninger som kræver databehandleraftaler da der skal transporteres data fra et systemt til et andet.

Dertil kommer alle de offentlige løsninger hvori der indberettes data om alverdens ting hvor kommunerne bliver dataansvarlinge selvom det er en offentlige løsning - og ja e-boks er et af eksemplerne. Men der er rigtigt mange.

Leverandørerne kræver at der ligger databehandleraftaler - og truer med at lukke adgange til løsninger hvis ikke der underskrives denne aftale - ofte leverandørens egen skabelon hvori det er er mange spændende tiltag for at sikre at leverandøren skal have sig betalt for at bevise at de lever op til GDPR - men også hvor man skal have særdeles gode evner indenfor cybercrime og it-arkitektur for at kunne afgører om de sikkerhedstiltag som leverandøren beskriver er de rette ...

Og når så en databehandleraftale er underskrevet så skal der føres tilsyn med en sådan - dette kan gøres via tilsyn fysisk (som leverandøren vil have en betaling for at stille op til) eller via revisionserklæringer ( som i visse tilfælde også kræver betaling) - og tilsynet skal sammenholdes med de øvrige risikovurderinger der er på området eller systemet og så skal man dokumentere hvilke sikkerhedstiltag der skal tages for at imødekomme hvad tilsynet har vist af uhensigtsmæssigheder. Og så opfølgning med leverandøren igen med at sikre at de gøre noget for at sikre de elementer der er nævnt. og så frem og tilbage indtil næste tilsyn.....

Samtidig skal databehandleraftalen lige opdateres da der måske er tilgået nye funktionnaliteter i årets løb ....

Tilsammem en halv dags arbejde for at indgå aftalen og så ca en halv dag + til tilsyn årligt - tilsammen over et årsværk med tilsyn med leverandører, hvor man ikke har den fjerneste viden ift om der reelt er udforderinger med løsningen, og sikkerheden er tilstrækkelig - og dertil at det oftes er fejl 40 (menneskelige fejl) der førere til de største sikkerhedsbrud - er dette virkelig en måde at anvendes skatteydernes penge?

Og pt hører man om at Datatilsynet begynder at ville udskrive bøder for kommunerne / det offentlige ikke har ført tilstrækkelig tilsyn eller har databehandleraftalerne på plads.

Dette er en jungle at navigere i - og ikke nemt.

Forordningen lægger op til at man kan have en risikobaseret tilgang til at sikre sikkerheden og de systemer man anvender - men dette er stik imod hvad der sker via Datatilsynets tilsyn med kommunerne. Og ja - som betraktet ovenfor - det kommer til at koste varme hænder at der skal betales bøder til Datatilsynet for papir der potientielt ikke giver værdi i det store billede.

Jeg mener ikke at vi som kommuner skal tage let på sikkerheden - vi tager det ganske alvorligt indenfor de rammer vi har (her tænkes også på at det ikke er særlig sexet for politikkere at afsætte penge til sikkerhed vs flere børnehavepladser mv) men nogle har ret trængte rammer og efterslæb som skal håndteres - hvilket vi arbejder hårdet for at håndtere.

Niels Madsen

Ja, det lyder godt nok umanerligt kompliceret. Kunne løsningen måske være at man i mindre grad insisterede på at data skulle deles og overføres på tværs af alle mulige "naturlige" fovaltningsmæssige barrierer, og kommuner imellem?

Jeg mener, hvis det bliver så dyrt at sikre borgernes indsigt og rettigheder juridisk, så har man måske i grunden ikke opnået den ønskede rationalisering som man stillede i udsigt da man valgte at alt mellem himmel og jord absolut skulle digitaliseres?

Bjarne Nielsen

men også hvor man skal have særdeles gode evner indenfor cybercrime og it-arkitektur for at kunne afgører om de sikkerhedstiltag som leverandøren beskriver er de rette

Hvis man ikke synes at man har kompetencerne til at styre leverandørerne, så må man fravælge disse leverandører eller erhverve sig kompetencerne.

Alt andet er uansvarligt.

Det er rigtige mennesker og deres liv, som I forvalter. I mange situationer kan vi end ikke sige nej, og vælge en anden forvalter. Det skærper ansvaret, når der er tale om tvang.

Det virker på mig som om at dette område har fået lov til at sejle i alt for lang tid, og at man alt for længe har benyttet sig af løsninger, som der slet ikke er styr på.

Der er sådan set ikke nogen forskel til ansatte i køkkenerne skal være uddannede, og til at mini-bussen til udflugter kun må køres af personer med det rette kørekort. Ja, det er dyrere og det kan opfattes som bureaukratisk, men sikkerheden skal være i orden.

Jesper Frimann

ofte leverandørens egen skabelon hvori det er er mange spændende tiltag for at sikre at leverandøren skal have sig betalt for at bevise at de lever op til GDPR - men også hvor man skal have særdeles gode evner indenfor cybercrime og it-arkitektur for at kunne afgører om de sikkerhedstiltag som leverandøren beskriver er de rette ...
....
Jeg mener ikke at vi som kommuner skal tage let på sikkerheden - vi tager det ganske alvorligt indenfor de rammer vi har (her tænkes også på at det ikke er særlig sexet for politikkere at afsætte penge til sikkerhed vs flere børnehavepladser mv) men nogle har ret trængte rammer og efterslæb som skal håndteres - hvilket vi arbejder hårdet for at håndtere.

Jo jo, men hvis man har en operations stue og laver 'brain surgery', bør man også have kvalificerede operations sygeplejsker og andet fagpesonale. Ligeledes så skal man også have fagligt kvalificeret personale hvis man vil lave IT.

Problemet er måske nok, at vi efter salget af de 'store offentlige' IT-selskaber har haft et vakum, som så er blevet fyldt ud med hovedsaglige decentrale distribuerede løsninger leveret af en skov af leverandører.

Så 'vi' ligger lidt som vi har redt. Der er jo ikke rigtig noget nyt i, at det er en god ide at have en databehandler aftale. Det er bare sådan først nu, at der er øget fokus på netop dette. Hvis du ser på persondataloven fra før 'gdpr', så var der også et krav om en aftale.

// jesper

Hans Nielsen

Dette er en jungle at navigere i - og ikke nemt.


Så du starter med at sige, at ingen bør overholde love, hvis det ikke er nem. Elle er det kun andre, men ikke en selv som skal overholde dem ?

Vi kunne også afskaffe dommer og retsystem, også lade den enkelte betjent give strafen direkte på stedet. Det vil da være nemt og billigt, samt spare mange arbejdspladser ?

--

Juglen er vokset op, fordi der i årvis ikker luget ud, klippet og fortaget valg og fravalg.
Man kunne måske starte med, hvis det er så dyrt og besværligt, og se om man har brug for alle 500 systemer.

Angående at regningen for overholdelse af loven bliver dyr. Når der efterhånden kommer styr på systemer og håndtering, så falder prisen.

Hvis konsulenter, revisor og firmaer vil have extra penge for at overholde loven, så kan man jo også tille krav , at når de tager sig betalt, så tager de også en større del af ansvaret, og betaler bøder og andet hvis de fejler.

Hvor er det lige at kommunerne har glemt, at de er kunderne og det er dem som betaler regning, ellerde kan lade være.
Eller har koruption og udulighed bredt sig så meget ud i kommunens administrationer, så det er firma og levendøre der styre udbud, afregning og hvad der skal prioriteres. Det kan da godt være at et system lige nu bliver dyre på grund af urimelig krav fra levendørere. Men så find jer dog nogen andre. Bare truslen om at miste det offenlige som kunde, skulle nok få de fleste til at rette ind, så betaling og overensstemmelseerklæinger bliver rimelig for alle parter.


Hvis EU laver en lov om at alle krops scanner som CR, MR og røngen som minimum skal tale samme sprog, og det blev uloveligt at indkøbe andet. Vil medisinal firmaer så forsvinde for det største økonomisk markede i verden, eller rette ind. Eller vil det bare være en standart som, ikke koster meget extra når først det er lavet. Lige som det snart sider WIFI i alle dimser.

Det samme her, til næste udbud, er det da et krav at firmaer som vil byde overholder GDPR, og de databehandleraftalerne som kommunen ligger frem. Ellers kan man ikke deltage i udbudet. Så vil GDPR være en del af prisen, og det vil ikke koste meget. Svære er det vel ikke.
At det kan koste mere i en overgangsperiode, fordi man ikke har været ude med redtidigt omhu. Det ansvar må ligge ved den politikse ledelse og administrationen.

Prøv at give lidt bonus for overholdelse af GDPR, og fratrække hvis der sker datatab. Så prøv at se hvad der sker. Selv om jeg synes det er en uvane, at betale bonus bare for at passe ens job.


Man kunne også spare en helt masse færdselbetjente og fotovogne, hvis man lavet fri hastighed alle steder.

Eller tilade selvtægt, spritkørsel, nakotika.

Eller bare lave et helt annakiste samfund uden skat, samt uden offenligt ansatte.

;-) /off

Du får forhåbenligt dine høje gage forde du kan finde ud af noget, selv om det er svært, eller besværligt. Hvis du ikke bryder dig om det. Så vil jeg igen mene at du har fundet dig et forkert job. Hvis det var nemt, så kunne vi jo sætte en studenter medhjælper til det.
Eller bunder det hele i, at det nu også kan følge ansvar med, i form af børde man skal foklare over for en ledelse, hvis man dummer sig eller ikke passer sit job. Hvor man bare før skubbet ansvaret fra sig, og ikke indbrettet hændelser eller overholdt loven.


Nu blev det lidt langt igen. Men prøver så også kort, og pædagogisk.

Hvorfor siddder i på en høj pæl, og føler i bør være hævet over loven.
Stem på nogle andre politikere, hvis du kan finde nogle som vil have GDPR ændret efter din overbevisning, eller stil selv op.

Bjarne Nielsen

Jeg mener ikke at vi som kommuner skal tage let på sikkerheden - vi tager det ganske alvorligt indenfor de rammer vi har (her tænkes også på at det ikke er særlig sexet for politikkere at afsætte penge til sikkerhed vs flere børnehavepladser mv) men nogle har ret trængte rammer og efterslæb som skal håndteres - hvilket vi arbejder hårdet for at håndtere.

Hmm. Halvtom vs. halvfuld.

Jeg har vist afsløret, at jeg af og til ser TV-programmer som f.eks. "Politijagt". Og jeg er meget imponeret over den tålmodighed, som man som betjent skal have, for igen og igen høre på det samme dårlige undskyldninger.

Prisen tog et pizzabud, som blev stoppet for at køre alt for hurtigt: han prøvede at argumentere for, at han var nødt til at køre, som han gjorde, for ellers så kunne hans forretning ikke hænge sammen. Jeg er ikke engang sikker på, at han fortjener en tudekiks!

På samme måde er der herfra ingen respekt herfra overfor kemi-virksomheder, som mener at de "er nødt til" at dumpe affald i naturen, for ellers så vil der gå arbejdspladser tabt.

Derfor er det også en rød klud for mig, at man taler om at "nogen skal jo betale" og "det kommer til at koste arbejdspladser / velfærd / plejehjemspladser" hvis man bliver bedt om at ikke bare at gøre tingene ordentligt og forsvarligt, men også om at rydde op efter sig.

Det betyder så ikke, at jeg mangler forståelse eller sympati for dem, som er nødt til at arbejde på den "kemikalie-grund", som offentlig IT har fået lov at udarte sig til. Og jeg er fuld af respekt for dem, som tager opgaven med at få ryddet op i svineriet på sig.

Og ja, der kommer til at falde en regning, og ja, den bliver dyr. Vi har - i overført betydning - levet af kvik-lån. Så ja, "nogen skal betale" og det bliver os. Vi kan ikke bliver ved som nu, og vi kommer oveni til at skulle tilbagebetale og det med renters rente. Der har været fest, og vi berusede os langt ud over det fornuftige, så nu kommer tømmermændene. Tudekiks, anyone?

Måske har jeg bare i alt for mange år skulle lægge øre til de sygeste bortforklaringer og de dårligste undskyldninger. Der er flere grunde til, at jeg ikke blev politibetjent; en af de store er, at jeg har ikke den form for tålmodighed.

Tylon Foxx

Det skal siges, at jeg selv har siddet med GDPR i tidernes morgen, hvor det skulle indføres. Ansvarene ligger således:

Udvikleren af systemet (i lovteksten "hjælpemidlet") har til ansvar at sørge for at systemet virker, og at indtastede data fx. gemmes korrekt. Udvikleren er desuden ansvarlig for datatab, sikkeerhedsbrud mv., hvis data hostes hos udvikleren.
Hvis der i kontrakten indgår aftale om support, vil udvikleren også skulle kunne tilgå data for at rette fejlen eller for at hjælpe kunden videre, dette går under udtrykket "behandling". For at udviklerens virksomhed kan supportere programellet ordentligt og lovligt, skal der være tilladelse til at behandle data, i form af en databehandlerkontrakt.

så Udvikleren:
* er dataansvarlig i den kontekst at hjælpemidlet skal fungere korrekt og den tekniske sikkerhed ertil stede.
* er databehandler i den kontekst der hedder at yde support.

Kommunen har det generelle dataansvar, ansvaret for at indtastede oplysninger er korrekte og for sig et ansvar om at indrapportere fejl og evt. sikkerhedsbrister som de kan se.

Så Kommune/instans/kunde
* er dataansvarlig i den kontekst der hedder at sikre at indtastede data er korrekte og evt. har brug for at blive slettede
* er databehandler i den kontekst der hedder at rette i data og vedligeholde disse efter behov.

Begge parter er ansvarlige når det kommer til at opdage og melde sikkerhedsbrister i tide. Hovdsagen er at der ikke er én instans der sidder med hele ansvaret... hvorfor ikke? Jo, for at det netop ikke sker at ansvaret flyttes frem og tilbage hvis der er en tvist; det er for at sikre samarbejde når der sker noget.


Jeg er ikke advokat, men jeg ved at Niels Madsen's guldkorn her:
"Derudover kan data blive brugt til at skabe generel viden om børns sundhed og trivsel i kommunen, indgå i forskningsprojekter efter aftale med kommunen m.v."

Enhver instans der har ret til at behandle ungernes data, skal oplyses ved navn, yderligere skal der anmodes om samtykke til yderligere undersøgelser hvor barnet indgår... "m.v." er i sig selv fire ulovlige tegn, da det åbentlyst tillader kommunen til at dele dataene med alle "m.v." kan sagens være mig. Alle sites og seervices der er rettet mod børn skal enten have forældres myndighed, eller barnet skal i sig selv kunne forstå at det de indtaster deles med andre.
Niels har i denne kontekst gjort det rigtige, at benægte anmodningen som dataansvarlig forælder. Artikel 12-14 gennemgår bl.a. indholdet af privatlivspolitikker, og, ja, der er strenge særkrav når børn under 18 er involverede.
Børn under 13 må ligeledes ikke selv samtykke til internet-baserede undersøgelser eller login-regler, ToS... dette gælder også fx. spil. Kort sagt, de må ikke oprette en konto selv NOGET sted, CPR nummer-baseret eller ej.

Frederiksberg Kommune er således ikke GDPR-compliant, skolen er lige så slemme hvis de prøver at gennemtvinge testen "for nemhedens skyld".

Claus Nørgaard Gravesen

Frederiksberg Kommune er således ikke GDPR-compliant, skolen er lige så slemme hvis de prøver at gennemtvinge testen "for nemhedens skyld".

Helt enig. Skole, børnehave m.v. følger dog ofte bare kommunens taktstok med hovedet under armen. Så i den forstand "tvinges" daginstitutioner osv. til direkte at bryde loven på en lang række punkter, fordi de bliver så groft vildledt af deres "overordnede", kommunerne. Det er selvfølgelig ikke nogen gyldig undskyldning i sidste ende, men det er det, der foregår.

Mht. sundhedsplejen, så er det kun et tilbud, som alt muligt andet. Hvilket vil sige, at man altid kan takke nej til undersøgelser af enhver art - og det samme gælder samtykkeerklæringer og hver enkelt lille ting i sig selv. Det er altsammen tilbud, og der kan takkes nej til hver enkelt i sig selv. Det overordnede tilbud skal dog stadig stå ifølge loven, således at alle har adgang til sundhedsplejen, hvis de ønsker det.

Men bl.a. sundhedsplejen bliver bestemt udnyttet på det groveste i de her tider, til at vildlede godtfolk til at tro, at de er forpligtede til kvit og frit at afgive ejerskab over egne persondata. Det er både voldsomt uetisk og groft vildledende - og kan betegnes som både magt- og data-misbrug, da det direkte bryder GDPR på flere punkter og bestemt også krænker den personlige frihed.

Niels Madsen

En lille opdatering:
Jeg har idag været i kontakt med "BørnUngeLiv.dk" (som teknisk er udviklet af "Opus Consult ApS"). Baggrunden er at jeg opdagede at der hos "BørnUngeLiv" allerede er oprettet en fungerende profil i mit barns navn og cpr nr., med fungerende UNILogin. Dette på trods af at vi forældre ikke har afgivet samtykke!

Dette gør det jo ret vanskeligt for os at sikre os at en fx. en vikar eller en glemsom skolelære ikke kommer til at lade vores barn udfylde spørgskemaundersøgelser uden vores viden eller samtykke.

Jeg forlangte naturligvis at BørnUngeLiv skulle nedlægge login'et i deres system, men fik at vide at dette ikke kunne lade sig gøre. Forklaringen var at de havde sent en "WS17 anmodning" til skolen, og at skolen havde godkendt denne. Jeg skulle derfor rette henvendelse til skolen. Jeg bad om at få at vide hvem på skolen der havde godkendt "WS17 anmodning", men det kunne supporteren ikke svare på, og jeg blev henvist til at ringe til BørnUngeLiv's projektleder. Jeg har nu fået en aftale om et telefonmøde med vedkommende på mandag.

Apropos, så var jeg jo inde for at kigge på spøgeskemaet til forældrene https://svar.boernungeliv.dk/Login/Default.aspx for at se hvad det var for noget. Men efter at have kigget på spørgsmålene uden at besvare noget, og uden at have klikket "afslut", så figurerede det som om at jeg havde besvaret skemaet. Telefonsupporten kunne dog godt se at ingen svar var afkrydset, og de kunne godt nulstille systemet så undersøgelsen nu igen står som "ubesvaret".

Jeg kan i øvrigt bemærke at jeg nu har kontaktet vores barns skolelære og fortalt om kommunes omgang med samtykkeerklæringer, og at der ikke må udfyldes undersøgelser med UNILogin. Jeg mødte kun forståelse, og opfordring til også at involvere skolens ledelse. De vil så modtage et anbefalet brev på det nærmest :-)

Log ind eller Opret konto for at kommentere