Det er for bøvlet for kommunerne at skulle leve op til persondataloven i praksis, hvis man skal tro formanden for Kommunernes It-Arkitekturråd, Henrik Brix.
Udmeldingen kommer efter, at Version2 har afsløret, at en række kommuner bryder loven ved ikke at holde tilstrækkeligt tilsyn med it-sikkerheden hos en række leverandører til kommunernes jobcentre.
Leverandørerne behandler personfølsomme oplysninger om borgere i aktivering, og derfor er kommunerne blandt andet forpligtede til at indberette leverandørerne til Datatilsynet og lave selvstændige databehandleraftaler med dem for at sikre, at de opbevarer og behandler borgernes oplysninger sikkert. Dette forsømmer flere kommuner, heriblandt Brøndby og Glostrup Kommune, og de er sandsynligvis ikke de eneste.
»Jeg tror godt, der kan findes andre tilfælde i kommunerne, hvor man ikke har databehandleraftaler med de små leverandører,« siger Henrik Brix til Version2 og fortæller, at jobcentrene ofte samarbejder med et stort antal små private leverandører, der nogle gange kun giver hjælp til enkelte borgere.
»Alt det her giver ikke nødvendigvis øget sikkerhed. Hvis man forestiller sig, at alle 98 kommuner skulle ud og lave databehandleraftaler på alle de små og store leverandører, så er det en kæmpe ressourcemæssig opgave,« siger han.
Venstre: Vi vil ændre loven, hvis den er for bureaukratisk
Selvom kommunerne overtræder persondataloven, så venter der dem ikke andet end en løftet pegefinger fra Datatilsynet. Det gælder også Københavns Kommune, der efter Version2’s henvendelse, har måttet tilmelde flere af dens private leverandører til Datatilsynet.
Det har fået Socialistisk Folkeparti op af stolen og kræve, at Datatilsynet skal være i stand til at udskrive bøder til de myndigheder, der ikke passer ordentlig på borgernes oplysninger og bryder persondataloven.
Også hos Venstre, ser man det som et problem, at Datatilsynet ikke kan gøre mere:
»Det er paradoksalt, at kommunerne kan bryde persondataloven uden at risikere noget andet end en løftet pegefinger,« siger Venstres retsordfører Karsten Lauritzen til Version2 og fortsætter:
»Jeg mener personligt, at vi bliver nødt til at give Datatilsynet flere egentlige inspektioner af kommunerne, men også nogle større sanktionsredskaber,« siger han uden dog at kunne sige, hvad han konkret mener, disse sanktionsredskaber skulle være.
Samtidig spiller han bolden over til kommunerne:
»Hvis der er noget i lovgivningen, der ikke giver mening og øger bureaukratiet uden at øge datasikkerheden, så er jeg indstillet på at lave det om. Men KL må komme med det forslag, man kan ikke bare ignorere lovgivningen,« siger han.
Datatilsynet har tidligere oplyst til Version2, at det ikke bruger kommunernes indberetninger af deres databehandlere til noget. Men når det kommer til databehandleraftalerne, så får piben en anden lyd:
»Det, vi interesserer os for, når vi kommer ud på kontrolbesøg, er, om kommunerne har databehandleraftaler, og om de sørger for, at sikkerheden er i orden hos databehandlerne,« siger kontorchef i Datatilsynet Lena Andersen.
Læs også: Offentlige myndigheder sender personfølsomme oplysninger med ukrypteret mail til forkerte modtagere
Fra KL er budskabet dog, at både kravet om databehandleraftaler og om at indberette databehandlerne til Datatilsynet bør ændres:
»Der er mere behov for at ændre loven eller vejledningen til den end at ændre praksis. Det er spild af tid, at vi skal lave særskilte aftaler. Der kunne man jo sige, at når man leverede databehandling til det offentlige, så var man i stedet automatisk forpligtet til at leve op til sikkerhedskravene i loven,« siger Henrik Brix fra KL.
Leave a Reply