12. august 2019

Datatilsynet udtaler alvorlig kritik af Randers Kommune

Efter et tilsynsbesøg i november 2018 har Datatilsynet nu tilsendt Randers Kommune en afgørelse, hvor der udtales alvorlig kritik af kommunen. Det sker, fordi kommunen på tidspunktet for besøget ikke havde indgået såkaldte databehandleraftale for alle systemer, som behandler personoplysninger, ligesom aftalernes indhold og opfølgningen på disse ikke i alle tilfælde levede op til reglerne. De manglende databehandleraftaler er efterfølgende kommet på plads, og der er ikke sket læk af borgernes data.

"Det er meget vigtigt for os at passe godt på borgernes data og behandle dem korrekt. Derfor er vi også rigtig ærgerlige over, at vi ikke var færdige med at indgå alle de korrekte databehandleraftaler til tiden, og heller ikke havde alle detaljer på plads omkring aftalernes indhold og opfølgningen på disse. Det er i den forbindelse vigtigt for mig at understrege, at der ikke er sket læk af data," siger Lars Sønderby, direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune.

"Vi anvender en lang række systemer til at behandle data. Systemerne har ikke været påvirket, men det formelle grundlag for systemleverandørernes databehandling nåede vi ikke at få på plads for alle vores systemer. Det er naturligvis meget beklageligt. Arbejdet er dog efterfølgende færdiggjort, ligesom vi løbende kontrollerer, at disse aftaler bliver overholdt og efterlevet," siger Lars Sønderby.

Større opgave end forventet

I forbindelse med at der trådte en ny forordning om datasikkerhed i kraft i slutningen af maj 2018 blev kravene til databehandleraftaler skærpet og udvidet. Derfor har Randers Kommune været i gang med at identificere alle de systemer, der skulle indgås aftaler for.

"Vi har støvsuget alle områder af kommunen for anvendelse af systemer, som kræver en databehandleraftale. Det viste sig at være en noget større opgave end forventet. Dels fordi antallet af systemer var større, end vi regnede med, og dels fordi dialogen med leverandørerne har været meget tidskrævende. Store internationale IT-virksomheder skriver ikke bare lige under, fordi en dansk kommune banker på døren med en databehandleraftale i hånden, " fortæller Lars Sønderby.

Der er i processen identificeret mere end 200 systemer, som Randers Kommune skal have databehandleraftaler på. Det gælder lige fra store systemer fx på socialområdet til små webbaserede løsninger som JP/Politikens web-løsning for skoleelever (Mynewsdesk.dk), hvor elevernes anvendelse af Uni-login udløser krav om en databehandleraftale.

Korrekte databehandleraftaler er nu på plads

Da Datatilsynet var på tilsyn i Randers Kommune den 11. november 2018 var der for 28 aftalers vedkommende anvendt en ældre skabelon af databehandleraftaler, og der manglede at blive indgået aftaler for 40 systemer. For en række af disse stod kravene til databehandling i kontrakten om det enkelte system, men manglede at blive opdateret til de nye krav og samlet i en databehandleraftale.

"Vi blev ganske enkelt overrasket over, hvor tidskrævende det var at indgå de sidste aftaler. Vi har undervejs i forløbet været i dialog med Datatilsynet og tager naturligvis deres afgørelse i sagen til efterretning. Efter tilsynsbesøget har vi fået fuldt ud styr på den formelle side af sagen med korrekte databehandleraftaler på alle relevante systemer og vi arbejder ufortrødent videre med at sikre kommunens overholdelse af lovgivningen omkring databeskyttelse," slutter Lars Sønderby.

Den 25. maj 2018 trådte der nye databeskyttelsesregler i kraft, som afløste den hidtil gældende persondatalov. De nye regler stammer fra EU's såkaldte databeskyttelsesforordning og er i Danmark udmøntet og suppleret i Databeskyttelsesloven.

Reglerne omfatter enhver behandling af personoplysninger, der ikke sker i en rent privat sammenhæng. Personoplysninger er alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person.

I reglerne opdeles personoplysninger generelt i følgende tre kategorier:

  • Almindelige personoplysninger (ikke-følsomme) - eksempelvis navn og adresse
  • Særlige kategorier af personoplysninger (følsomme) - eksempelvis helbredsoplysninger
  • Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
  • Den, der behandler personoplysninger, er den dataansvarlige eller databehandleren, alt efter hvilken rolle vedkommende har i behandlingen.

Databeskyttelsesforordningen definerer den dataansvarlige som den fysiske eller juridiske person, offentlige myndighed, institution mv., der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

For alle typer af personoplysninger, skal den dataansvarlige sikre sig, at behandlingen af oplysningerne er i overensstemmelse med en række grundprincipper, ligesom der skal være et lovligt grundlag til at behandle oplysningerne.

Hvis behandlingen af data involverer en anden fysisk eller juridisk person, myndighed mv., så skal den dataansvarlige lave en såkaldt databehandleraftale med pågældende databehandler (som eksempelvis kan være leverandør af et IT-system til kommunen).

I databehandleraftalen fastlægges de formelle rammer for databehandlerens behandling af data på vegne af den dataansvarlige - herunder blandt andet forhold vedrørende sikkerhed og vilkårene for eventuel brug af anden databehandler (en såkaldt underdatabehandler).

I Danmark er det Datatilsynet, der som central uafhængig myndighed fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynet rådgiver og vejleder, behandler klager og gennemfører tilsyn hos myndigheder og virksomheder. Yderligere oplysninger kan ses her: https://www.datatilsynet.dk/