Når man som borger skriver under på, at kommunen kan give ens personlige oplysninger videre til andre virksomheder, kan der være grund til at være på vagt.
Flere kommuner overholder nemlig ikke en række helt basale krav til datasikkerheden, som det står beskrevet i persondataloven.
Det viser en stikprøveundersøgelse, som Version2 har foretaget, og som afslører en række lovbrud i kommunerne i deres forhold til jobcentrenes eksterne leverandører i beskæftigelsesindsatsen.
To kommuner, Glostrup og Brøndby kommuner, har ikke indgået lovpligtige databehandleraftaler og foretaget revision af it-sikkerheden hos alle deres eksterne leverandører til jobcentrene. Dermed kan kommunerne ikke vide sig sikre på, om borgernes oplysninger bliver opbevaret og behandlet sikkert hos leverandørerne.
»Det er et essentielt krav, at man som offentlig myndighed skal have styr på sine databehandlere, ellers mister man kontrollen af sine data, og det kan man ikke have – især ikke i det offentlige,« siger it-advokat hos Bird & Bird Nis Peter Dall til Version2.
»Det er alarmerende, når det roder så meget på det kommunale område. Vi skal som borgere have tillid til, at vores personlige oplysninger bliver håndteret på en god og ansvarlig måde, og det synes jeg ikke, det her vidner om,« siger SF’s retsordfører, Karina Lorentzen.
De pågældende leverandører hjælper jobcentrene med specialiserede forløb til borgere i aktivering og har derfor i nogle tilfælde adgang til personfølsomme oplysninger om borgerne af forskellig grad som eksempelvis sygdomme og sociale problemer.
Databehandleraftalerne skal sammen med it-revisionen være med til at sikre, at leverandørerne har truffet de nødvendige sikkerhedsforanstaltninger for at forhindre misbrug af borgernes oplysninger. Men det er ikke altid, at kommunerne gør brug af de lovpligtige tiltag.
»Vi har brugt databehandleraftaler tidligere, men gør det ikke længere. Med størrelsen på vores jobcenter overstiger administrationen gevinsten ved at bruge dem,« siger jobcenterchef i Brøndby Bjarne Bo Larsen og forklarer, at da jobcenteret skiftede en række leverandører ud, troede man ikke længere, at det var nødvendigt at have databehandleraftaler for de resterende leverandører.
»Vi har enkelte meget individuelt orienterede indsatsforløb, så jeg tør slet ikke tænke på, hvad det ville kræve af ressourcer at lave databehandleraftaler med alle leverandørerne,« siger han.
Manglende indberetninger til Datatilsynet
En stor del af de kommuner, som Version2 har undersøgt, forsømmer desuden deres pligt til at indberette alle deres databehandlere til Datatilsynet.
Det gælder blandt andet Høje Taastrup, Glostrup, Brøndby og Københavns kommuner, men da der kun er tale om en stikprøve, kan der være tale om langt flere kommuner, som ikke overholder kravene i persondataloven. I alt har seks kommuner svaret på Version2′s henvendelse. Fire af dem bryder persondataloven ved ikke at indberette deres databehandlere, mens to af dem ikke er omfattet af reglerne.
Når kommunerne overgiver borgeres oplysninger til private samarbejdspartnere i beskæftigelsesindsatsen, skal kommunen ifølge persondataloven melde alle disse databehandlere til Datatilsynet. Og det har nogle af kommunerne undladt.
»Det er en overtrædelse af persondataloven. De vil sandsynligvis få en påtale og blive bedt om at få det bragt i orden ganske snart,« siger Nis Peter Dall og påpeger, at kommunerne skal indberette databehandlerne, så Datatilsynet har mulighed for at komme med bemærkninger.
»Man kan kun opfordre Datatilsynet til at have opmærksomhed på det her,« siger Karina Lorentzen, der vil bede beskæftigelsesministeren om at redegøre for, om der er behov for en nærmere undersøgelse af kommunerne.
»Jeg er godt klar over, at det er at stikke hånden ned i en hvepserede og åbne pandoras æske, for der vil nok vælte mange skeletter ud af skabet. Men det er den bedste forudsætning for at lave præcise tiltag,« siger Karina Lorentzen.
Både Glostrup og Københavns kommuner har efter Version2’s afsløringer meldt tilbage, at man fremover vil melde databehandlerne til Datatilsynet. Glostrup Kommune oplyser desuden, at den vil lave databehandleraftaler med leverandørerne og føre fast tilsyn med dem i fremtiden.
Brøndby og Høje Taastrup kommuner, der mangler at indberette nogle af deres databehandlere til Datatilsynet, oplyser begge, at de ikke var klar over kravene på forhånd:
»Vi gør en stor indsats for at gøre det her rigtigt. Det er derfor, vi har lavet databehandleraftaler, fordi vi troede, at de opfyldte kriterierne. Hvis det viser sig, at det ikke er korrekt, skal vi have rettet det hurtigst muligt,« siger Jeanette Teglgaard, der er afdelingsleder i Jobcenter Høje Taastrup.
Datatilsynet: Vi bruger ikke oplysningerne til noget
Datatilsynet vil ikke kommentere på de konkrete kommuners brud på persondataloven og oplyser, at de ikke var bekendt med de manglende indberetninger fra kommunerne.
»Det er jeg ikke klar over på stående fod, men det ville ikke undre mig, hvis der var nogen, der havde glemt at indberette nogle databehandlere,« siger kontorchef hos Datatilsynet Lena Andersen og fortæller, at de pågældende kommuner vil kunne forvente en løftet pegefinger fra Datatilsynet.
»Det, vi interesserer os for, når vi kommer ud på kontrolbesøg, er, om kommunerne har databehandleraftaler, og om de sørger for, at sikkerheden er i orden hos databehandlerne,« siger Lena Andersen og forholder sig mere køligt til de manglende indberetninger til Datatilsynet:
»Vi bruger ikke oplysningerne til noget – vi bruger oplysningerne, vi får på stedet under tilsynet. Jeg ved ikke, om det vil blive opdaget, hvis indberetningerne mangler.«
Hvorfor skal I så have de her indberetninger af kommunernes databehandlere?
»Det er jo bare noget, der står i loven. Der skal man spørge politikerne om, hvorfor de har lavet bestemmelserne, som de har.«
Datatilsynet er i øjeblikket ved at foretage stikprøver af datasikkerheden blandt borgerservicecentrene, men har ifølge Lena Andersen endnu ikke planlagt nogen kontrol af jobcentrene på beskæftigelsesområdet.
I en høring i Folketingets Retsudvalg om offentlige myndigheders behandling af personoplysninger i sidste uge foreslog Lena Andersen politikerne, at man undersøgte mulighederne for at straffe de myndigheder, der overtræder persondataloven.
Læs også: Offentlige myndigheder sender personfølsomme oplysninger med ukrypteret mail til forkerte modtagere
I øjeblikket er en løftet pegefinger Datatilsynets hårdeste sanktionsmiddel mod de myndigheder, der måtte overtræde persondataloven, og det bør der ændres på, hvis det står til SF:
»Jeg synes, at Datatilsynet skal have mulighed for at udskrive nogle bøder, som kan forstås og mærkes,« siger Karina Lorentzen og uddyber:
»Det kan ikke nytte noget, at man på EU-plan arbejder for, at man ikke skal kunne straffe kommuner og resten af det offentlige lige så hårdt som det private. Det er først og fremmest i det offentlige, at hovedparten af de personfølsomme oplysninger håndteres.«
Fakta om personfølsomme oplysninger i det offentlige
Det forpligter kommunerne sig til ifølge persondataloven:
-
Når borgernes oplysninger bliver behandlet af private virksomheder, skal kommunen melde virksomhederne til Datatilsynet som databehandlere. Det kan eksempelvis være virksomheder, der hjælper jobcentrene med specialiserede tilbud til borgere i aktivering.*
-
For at sikre, at borgernes oplysninger bliver behandlet sikkert hos de eksterne leverandører, skal kommunerne også lave databehandleraftaler med deres databehandlere.*
-
Kommunen skal desuden årligt kræve en revisionserklæring om it-sikkerheden hos databehandlerne for at sikre, at virksomhederne lever op til en række krav til blandt andet sikkerhedsprocedurer.*
Leave a Reply