Glostrup og Brøndby kommuner har fået en bestemt besked fra Datatilsynet: Redegør for, hvordan I holder tilsyn med borgernes personfølsomme oplysninger.
Datatilsynets henvendelse kommer, efter at Version2 afslørede, at begge kommuner overtræder persondataloven ved ikke at indgå databehandleraftaler og kræve it-revision af sikkerheden hos en række private firmaer, der samarbejder med jobcentrene.
Disse eksterne leverandører laver specialiserede forløb til borgere i aktivering og har derfor adgang til borgernes personfølsomme oplysninger. Når kommunerne ikke holder tilstrækkeligt tilsyn med leverandørerne, kan de i princippet heller ikke vide, om borgernes oplysninger bliver behandlet sikkert.
»Hvis kommunerne vil give private virksomheder adgang til oplysninger om borgerne, så er de nødt til at have et setup, der sikrer, at oplysningerne ikke bliver prisgivet,« siger kontorchef i Datatilsynet Lena Andersen til Version2.
Egen drift sager efter Version2 artikel om at kommuner bryder loven http://t.co/PDW85Tez5w
— Lena Andersen (@Lenand) October 31, 2014
Flere inspektioner kan være på vej
Det er sandsynligt, at langt flere kommuner ikke fører tilstrækkelig kontrol med it-sikkerheden hos de private firmaer, der har adgang til borgernes personfølsomme oplysninger.
Version2’s afsløring baserer sig kun på en stikprøve, hvor syv kommuner svarede. Og der vil sandsynligvis være flere tilfælde blandt andre kommuner ifølge formanden for Foreningen af Kommunale it-chefer, KIT@, Henrik Brix.
Datatilsynet vil derfor ikke udelukke yderligere undersøgelser.
»Det kan sagtens være, at vi tager flere lignende sager op med andre kommuner,« siger Lena Andersen.
Flere kommuner, heriblandt Københavns Kommune, bryder desuden persondataloven ved ikke at oplyse alle de private leverandører til Datatilsynet, som de ellers er forpligtede til.
Men det får ikke Datatilsynet til at reagere, der tidligere har oplyst til Version2, at den ikke bruger disse indberetninger til noget.
»Vores primære fokus er, at kommunerne har aftaler med deres leverandører og sørger for, at der er tilstrækkelig sikkerhed omkring oplysningerne om borgerne,« siger Lena Andersen.
Kommuner risikerer kun en løftet pegefinger
I første omgang vil Datatilsynet bekræfte, at Brøndby og Glostrup kommuner ikke har indgået databehandleraftaler og ikke fører kontrol med sikkerheden hos leverandørerne.
Kommunerne risikerer dog ikke andet end en løftet pegefinger. Det er nemlig alt, hvad Datatilsynet har myndighed til at gøre.
»De vil risikere at få kritik, hvis det viser sig, at de ikke lever op til persondataloven,« siger Lena Andersen.
Hun har tidligere i en høring i Folketinget sagt, at det bør undersøges, om Datatilsynet skal være i stand til at uddele hårdere straffe til myndigheder, som ikke overholder loven, eksempelvis i form af bøder.
SF bakker også op om forslaget, mens Venstre ikke vil komme med en klar udmelding om, hvad Datatilsynet skal have bemyndigelse til.
»Jeg synes, at Datatilsynet skal have mulighed for at udskrive nogle bøder, som kan forstås og mærkes,« sagde Karina Lorentzen tidligere til Version2.
Kommuner: For meget administration at overholde loven
Glostrup Kommune har efter Version2’s afsløring sagt, at den fremover vil lave databehandleraftaler og føre kontrol med it-sikkerheden hos sine samarbejdspartnere.
Begge kommuner oplyser, at de ikke var klar over kravene på forhånd.
Flere kommuner har samarbejdsaftaler med mange små leverandører, der i nogle tilfælde kun har forløb med enkelte borgere i aktivering. Derfor klager kommunerne over, at det vil kræve for meget administration at overholde loven og holde styr på sikkerheden hos alle disse små virksomheder.
»Hvis man forestiller sig, at alle 98 kommuner skulle ud og lave databehandleraftaler på alle de små og store leverandører, så er det en kæmpe ressourcemæssig opgave,« sagde Henrik Brix tidligere til Version2.
»Der er mere behov for at ændre loven eller vejledningen til den end at ændre praksis. Det er spild af tid, at vi skal lave særskilte aftaler. Der kunne man jo sige, at når man leverede databehandling til det offentlige, var man i stedet automatisk forpligtet til at leve op til sikkerhedskravene i loven,« siger han.
Leave a Reply