Kommuner falder på 20 år gamle datakrav

Viborg kommune - her rådhuset i den gamle domkirkeby - har fået alvorlig kritik og påbud af Datatilsynet.
Viborg kommune - her rådhuset i den gamle domkirkeby - har fået alvorlig kritik og påbud af Datatilsynet. (Foto: Flemming Jeppesen)

Både Viborg og Randers kommuner får alvorlig kritik af Datatilsynet – for lovkrav, der er næsten 20 år gamle. Randers har for eksempel ikke indgået lovpligtige aftaler med hele 68 databehandlere. Området bliver ikke prioriteret højt nok, mener persondataekspert, der alligevel er overrasket over, at udfordringerne er så store.

Datatilsynet satte sidste efterår fokus på, om kommunerne efterlever de krav, den nye persondatalov stiller til brug af databehandlere. Resultaterne af de to første tilsyn blev offentliggjort for nylig, og her får både Viborg og Randers kommuner ’alvorlig kritik’ af tilsynsmyndigheden. Det undrer en ekspert i persondataret, fordi der er tale lovkrav, der også var indeholdt i den gamle persondatalov fra år 2000. Den traditionsrige jyske købstad Viborg fik ud over alvorlig kritik også et påbud fra Datatilsynet, mens Randers kunne nøjes med alvorlig kritik.

Påbud og alvorlig kritik
Nyligt offentliggjorte rapporter fra Datatilsynets besøg sidste efterår viser, at Randers Kommune ikke havde indgået de lovpligtige aftaler med hele 68 databehandlere. Denne og andre mangler udløste alvorlig kritik. Viborg manglede kun at indgå 5 aftaler, men her havde kommunen også udfordringer med at udarbejde instrukser og med at føre tilsynet hos 3 af leverandørerne. Dertil kom, at Viborg Kommune slet ikke førte det løbende tilsyn med behandlingen af personoplysninger hos leverandørernes underdatabehandlere, som kommunen er forpligtet til. Det gav både påbud og alvorlig kritik samt en trussel om bøde.

At der er så forholdsvis store problemer med at leve op til reglerne i persondataforordningen, kommer ikke bag på ekspert i persondatalovgivningen, partner og advokat Catrine Søndergaard Byrne. Hun oplever, at ledelsen i mange af de virksomheder og forvaltninger, hun rådgiver, ikke prioriterer området højt nok. Men det overrasker hende alligevel, at udfordringerne fortsat er relativt store lige netop i forhold til databehandlere.

Beskæmmende at se
”Det er jo ikke er noget nyt krav, at offentlige forvaltninger skal passe godt på borgernes persondata, herunder have databehandleraftalerne på plads,” siger hun og konstaterer, at krav om databehandleraftaler har eksisteret i den danske persondatalovgivning siden år 2000.

”På den baggrund er det noget beskæmmende at se kommuner falde igennem ved ikke at leve op til de principper, der også gjaldt i den tidligere persondatalov og dermed på krav, som de har skullet leve op til i snart 20 år. Persondataforordningen stiller godt nok en række nye krav, men mange af de grundlæggende elementer er slet ikke nye,” siger Catrine Søndergaard Byrne.

Det er dog nyt, at der er risiko for at få bøder, når man overtræder reglerne, og derfor var der meget hype om nødvendigheden af at leve op til reglerne i forbindelse med, at den nye persondataforordning trådte i kraft 25. maj sidste år.

”Selvom meget af indholdet er velkendt, så er der nye og stærkt skærpede dokumentationskrav og de nye krav til risikovurderinger er vanskelige at arbejde med, særligt når man har mange databehandlere, som kommunerne ofte har. Det kræver procedurer og forretningsgange at holde styr på hvem, hvad, hvorfor og hvor lang tid, når det handler om persondata,” siger Catrine Søndergaard Byrne og peger på, at manglende opmærksomhed fra den øverste ledelse kan være en forklaring på, at virksomheder og kommuner får problemer, når Datatilsynet kommer på besøg.

Ansvar kan ikke udliciteres
”Der skal fokus på at beskytte persondata, og området skal forankres på højt niveau i organisationerne. Der skal skabes rum og ressourcer for at kunne  arbejde ordentligt med det og skabe de nødvendige rutiner. Det gælder ikke mindst kommuner, som i sagens natur har brug for at behandle massevis af følsomme persondata om borgerne, og dermed skal leve op til høje krav. Persondata om borgere, kunder, forbrugere osv. skal beskyttes hele vejen rundt. Det ansvar hører ikke op, bare fordi selve behandlingen af nogle persondata foregår ude hos en leverandør,” siger Catrine Søndergaard Byrne.

”Arbejdet med persondata afdækker også meget såkaldt skygge-IT, der nemt kan falde uden for de faste procedurer. Et tænkt eksempel kunne være en lærer, der finder en spændende app, som kan bruges i undervisningen, og som hjælper eleverne med at oprette brugerprofiler. I den situation kan firmaet bag appen blive databehandler til kommunen, og det er jo ikke sikkert, at alle medarbejdere rundt om på skolerne får tænkt over, hvad det indebærer. For ikke at nævne om eleven overhovedet kan oprette en brugerprofil uden et forældresamtykke. Det kan også være nogle medarbejdere, der deler arbejdsfiler med persondata via Dropbox, fordi det er meget nemmere, og så er det jo pludselig Dropbox, der er databehandler. Konsekvensen af det er, at der skal sikres en databehandleraftale, og det er medarbejderne ikke altid opmærksomme på,” siger Catrine Søndergaard Byrne.

DPO’en er en nøglefigur
Hun peger på DPO’en, som den nøglefigur i organisationen, der kan sparre, inspirere og følge op i forhold til medarbejdere og holde fokus. Det er en vigtig rolle, men DPO’en kan ikke virke uden, at arbejdet er forankret i ledelsen, som skal bakke op om indsatsen.

Det er også en udfordring, at man som kommune lægger en del af de forvaltningsretlige forpligtelser og ansvaret ude hos leverandørerne.

”Det er netop derfor, at instrukserne til databehandleren er så vigtige. Det er nøglen til at sikre, at man overholder GDPR. Men det er ikke gjort med en databehandleraftale og en klar instruks. Kommunen skal som dataansvarlig jævnligt føre tilsyn med databehandlerne, herunder tjekke og dokumentere, at tingene faktisk foregår som det er aftalt,” siger Catrine Søndergaard Byrne.

I Viborg Kommune deler direktør for digitalisering Klaus Christiansen ikke opfattelsen af, at det stort set var de samme regler før og efter, at vi fik GDPR sidste år.

”Persondataforordningen strammede betydeligt op på de krav, der blev stillet, og der blev afsat særlige økonomiske ressourcer, så vi kunne leve op til de nye og regler, og datatilsynets direktør lovede, at der ville blive en indkøringsperiode. Det havde vel ikke været nødvendigt, hvis der ikke var brug for det,” siger Klaus Christiansen. Men han erkender, at tilsynet i Viborg viste, at kommunen havde en række udfordringer i forhold til at efterleve reglerne.

Tilsyn satte barren højt
”Vi fik et af de første tilsynsbesøg, og vi må erkende, at vi ikke var helt klar. Og så kom det også bag på os, at tilsynet satte barren højt i forhold til kommunal kontrol med databehandlerenes underleverandører. Det har vi selvfølgelig rettet ind efter, og vi er også nået igennem de andre punkter,” siger Klaus Christiansen.

Han understreger, at datasikkerhed er vigtigt, og at borgerne skal have tillid til, at kommunen passer godt på den stadigt voksende mængde persondata, den ligger inde med om borgerne.

”Digitalisering af en kommunal forvaltning rummer stor kompleksitet, hvor vi skal navigere gennem mange modsatrettede krav og ønsker fra borgere, erhverv og myndigheder. For eksempel skal det helst både være nemt og sikkert. Det er ikke altid, at de to hensyn går hånd i hånd,” siger Klaus Christiansen.

Fakta om tilsynet i Viborg kommune
Viborg Kommune var blandt de dataansvarlige, som Datatilsynet i 2018 havde udvalgt til tilsyn. Tilsynene fokuserede navnlig på kommunernes efterlevelse af de krav, som knytter sig til anvendelse af databehandlere.

Datatilsynet noterer, at Viborg Kommune i flere tilfælde ikke har levet op til databeskyttelsesforordningens artikel 28, stk. 3, på følgende tre punkter:

  • at kommunen for så vidt angår 5 af kommunens data behandlere ikke har indgået databehandleraftaler der – som et minimum – indeholder en beskrivelse af de forpligtelser, som er nævnt i artikel 28, stk. 3,
  • at kommunen i flere tilfælde ikke i tilstrækkelig grad har forholdt sig til, hvordan forpligtelserne i artikel 28, stk. 3, skal opfyldes af parterne i praksis,
  • at kommunen ikke på en tilstrækkelig klar måde har instrueret samtlige data behandlere i, hvilken behandling af personoplysninger, der skal foretages på vegne af kommunen.

Datatilsynet anfører også, at Viborg Kommune ikke har ført løbende tilsyn med behandlingen af personoplysninger hos – i hvert fald – 3 af kommunens databehandlere.

Endelig har Viborg Kommune ikke ført løbende tilsyn med behandlingen af personoplysninger hos kommunens underdatabehandlere.

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle