Tre år er for lang tid at bruge på, at finde ud af om man lever op til persondataloven. Efter at være blevet adspurgt i 2011 har Danmarks Statistik først i år fået sikkerhed på, at der skal laves ting om i den nationale statistikbank. Det kostede i sidste uge kritik fra Rigsrevisionen.
Men Danmarks Statistik bærer ikke hele ansvaret for den lange arbejdstid. Institutionen har selv måtte døje med måneders ventetid fra Datatilsynet, som skulle fortælle, om reglerne var overholdt.
I løbet af 2013 lå bolden samlet set hos Danmarks Statistik i omkring to måneder. Resten af tiden ventede institutionen på svar fra Datatilsynet. Det fremgår af Danmarks Statistiks egen tidslinje over forløbet, som over for Version2 ikke blev anfægtet af Datatilsynet.
En enkelt gang går der seks måneder uden lyd fra Datatilsynet.
»Der sker ikke noget i den periode, så vidt vi er orienteret. Jeg går ud fra, det har skyldes travlhed, men det er et gæt. Vi får ikke noget at vide,« siger Jørgen Elmeskov, der er rigsstatistiker hos Danmarks Statistik.
Troede de levede op til kravene
Jørgen Elmeskov medgiver, at Danmarks Statistik bærer sin del af ansvaret for den lange proces – særligt i starten af forløbet, hvor man er sene til at tage kontakt til Datatilsynet. Men Rigsstatistikeren forklarer, at et møde i januar 2012 efterlod intuitionen med det indtryk, at man havde sit på det rene.
På mødet skulle det afklares, om Danmarks Statistik fulgte sikkerhedsbekendtgørelsen. I referatet, som ifølge Jørgen Elmeskov blev godkendt af Datatilsynet, står der, at »Datatilsynet tog Danmarks Statistiks orientering til efterretning.«
Dertil kommer, at Danmarks Statistik har været overbevist om, at de har været omfattet af sikkerhedsbekendtgørelsens §19 stk. 3, der er en 14 år gammel undtagelse, som netop gælder om statistikproduktion. Først i sommeren 2014, står det ifølge Jørgen Elmeskov klart, at Danmarks Statistik skal ændre praksis.
»Vi var stadig under det klare indtryk, at vi levede op til kravene. Og efter min mening havde vi god grund til at tro det. Det, at der går lang tid, betyder, at der går tilsvarende lang tid, før vi begynder, at se på, hvad der skal ændres,« forklarer Jørgen Elmeskov.
Rigsrevisionens kritik af Danmarks Statistik handler netop om, at der går så lang tid, før der kommer afklaring om, institutionen lever op til kravene i persondataloven. Men den lange proces har Danmarks Statistik altså ikke forårsaget alene.
Jørgen Elmeskov vil ikke pege fingre af Datatilsynet, fordi han mener, der kan være mange legitime grunde til, at svartiden er lang. Men omvendt har ventetiden haft konsekvenser.
»Det er jo klart, at det har været op ad bakke for os. Jeg vil ikke sidde her og skyde på en institution, som formentlig er udsat for et betydeligt arbejdspres, men det er klart, at den lange svartid har været med til at trække processen ud,« lyder det fra Rigsstatistikeren.
Venter på svar
Efter afgørelsen fra Datarådet, om at Danmarks Statistiks logning er utilstrækkelig, gik institutionen i gang med at finde ud af, hvad der skulle ændres. Den 26. august sender Danmarks Statistik sin løsning til godkendelse hos Datatilsynet, men har endnu ikke modtaget svar.
»Det er frustrerende, for vi vil gerne i gang. Vi vil gerne have sagen ud af verden., så vi ser frem til, at vi får tilkendegivelse fra Datatilsynet om, at vores tilgang er okay,« siger Jørgen Elmeskov.
Og det er ikke en mulighed at gå i gang med det samme, lyder det fra statistik-chefen.
»Det er offentlige midler vi taler om. Vi kan ikke tillade os at kaste et millionbeløb efter et nyt system uden en rimelig sikkerhed for, at det vil leve op til kravene.«
Kommitteret i Datatilsynet Birgit Kleis fortæller, at netop den lange svarfrist i år skyldes travlhed.
»Det skyldes et ressourcespørgsmål og et sagsbehandlerskift, som har gjort, at sagen har været i en venteposition,« fortæller hun.
Birgit Kleis vil godt love, at Danmarks Statistik får et svar indenfor den nærmeste fremtid.
Meget arbejde tager tid
Birgit Kleis forklarer, at den lange ventetid i behandlingen forud for afgørelsen skyldes flere ting.
»Vi har måttet indhente oplysninger fra udlandet om, hvordan man gør i andre lande i forhold til logningsregler i statistikproduktion. Udenlandske instanser er ikke de hurtigste at få svar fra, så det har taget tid,« siger hun.
Dertil kommer, at tilsynet måtte undersøge statistik-institutionens forklaring om, at man var undtaget fra sikkerhedsbestemmelserne, hvilket man ikke fandt belæg for.
»En anden grund er, at der er meget arbejde. Det er ikke den eneste sag, vi har,« lyder det fra Birgit Kleis.
Rigsrevisionens kritik ledte i går til en artikel i Metroxpress, som blev citeret af andre medier. I artiklen fremgår det, at samtlige 450 medarbejdere har frit spil i den store nationale database. Men det er misvisende, mener Jørgen Elmeskov, fordi de enkelte medarbejder kun har adgang til den specifikke datamængde, de skal bruge i deres arbejde. Og selvom logning nu skal gøres bedre, så er det ikke tilfældet, at der ikke eksisterer nogen som helst form for logning af adfærden rundt om i statistikbanken allerede.
»Det er det, der gør, at vi er så kede af sagen, som vi er. Vi modtager jo oplysninger fra borgerne om utroligt mange ting. Og det er helt væsentligt for vores forretningsmodel at borgerne har tillid til, at vi behandler oplysningerne ordentligt, og at de ikke bliver lækket på den ene eller den anden måde,« siger Jørgen Elmeskov og tilføjer:
»Det er noget, der gør ondt,«
Tidlinje over forløbet:
-15. juni 2011: Rigsrevisionen (RR) anbefaler, ”at DST får afklaret, om man følger Sikkerhedsbekendtgørelsens bestemmelser vedr. logning”.
-10. november 2011: DST inviterer Datatilsynet (DT) til et møde
-23. januar 2012: Møde mellem DST og DT. ”Datatilsynet tog Danmarks Statistiks orientering til efterretning.”
-13. juli 2012: DST sender referatet af mødet med DT til RR.
-14. august 2012: RR takker for afslutning på sagen.
-15. november 2012: RR genåbner sagen. ”interesseret i at få oplyst hvad der mere præcist ligger til grund for Datatilsynets accept af Danmarks Statistiks praksis.”
-30. november 2012: telefonsamtale med RR. Sagen ligger hos DT.
-8. februar 2013: DST foreslår et møde om DSTs logningspraksis snarest muligt.
-1. marts 2013: Svar fra DT med 8 spørgsmål
-22. marts 2013: Svar fra DST på de 8 spørgsmål.
-27. september 2013: DT inviterer DST til møde om logning.
-10. oktober 2013: Møde hos DT
-8. november 2013: DST sender de aftalte oplysninger til DT og foreslår tilføjelse til sikkerhedsbekendtgørelsen,
-3. marts 2014: Svar fra DT, som stiller otte yderligere spørgsmål
-21. marts 2014: DST svarer på DT’s spørgsmål.
-4. juli 2014: Svar fra DT: DST bedes inden 15. august redegøre for, hvilke skridt DST agter at tage for at etablere logning efter sikkerhedsbekendtgørelsens § 19. Fristen blev senere udskudt til 1. sept.
-26. aug. 2014: DST svar til DT/Datarådet og meddeler, at DST inden udgangen af 2015 vil implementere mere detaljeret logning. DST beder om en vurdering fra DT om denne løsning er tilfredsstillende.
-31. okt. 2014: DST rykker for et svar fra DT, da en løsning vil medføre betydelige omkostninger.
Leave a Reply