En stikprøveundersøgelse, som Version2 har foretaget, afslører en række lovbrud i kommunerne i deres forhold til jobcentrenes eksterne leverandører i beskæftigelsesindsatsen. Glostrup og Brøndby Kommune har ikke indgået lovpligtige databehandleraftaler og foretaget revision af it-sikkerheden hos alle deres eksterne leverandører til jobcentrene.
Dermed kan kommunerne ikke vide sig sikre på, om borgernes oplysninger bliver opbevaret og behandlet sikkert hos leverandørerne.
- Det er et essentielt krav, at man som offentlig myndighed skal have styr på sine databehandlere, ellers mister man kontrollen af sine data, og det kan man ikke have - især ikke i det offentlige, siger it-advokat hos Bird & Bird Nis Peter Dall til Version2.
- Det er alarmerende, når det roder så meget på det kommunale område. Vi skal som borgere have tillid til, at vores personlige oplysninger bliver håndteret på en god og ansvarlig måde, og det synes jeg ikke, det her vidner om, siger SF's retsordfører Karina Lorentzen.
Aftaler skal forhindre misbrug
Leverandørerne hjælper jobcentrene med specialiserede forløb til borgere i aktivering og har derfor i nogle tilfælde adgang til oplysninger om borgerne som eksempelvis sygdomme og sociale problemer. Databehandleraftalerne skal sammen med it-revisionen være med til at sikre, at leverandørerne har truffet de nødvendige sikkerhedsforanstaltninger for at forhindre misbrug af borgernes oplysninger. Men det er ikke altid, at kommunerne gør brug af de lovpligtige tiltag.
- Vi har brugt databehandleraftaler tidligere, men gør det ikke længere. Med størrelsen på vores jobcenter overstiger administrationen gevinsten ved at bruge dem, siger jobcenterchef i Brøndby, Bjarne Bo Larsen, og forklarer, at da jobcenteret skiftede en række leverandører ud, troede man ikke længere, at det var nødvendigt at have databehandleraftaler for de resterende leverandører.
- Vi har enkelte meget individuelt orienterede indsatsforløb, så jeg tør slet ikke tænke på, hvad det ville kræve af ressourcer at lave databehandleraftaler med alle leverandørerne, siger han.
Kommuner retter ind
Fire af de i alt seks adspurgte kommuner, som Version2 har undersøgt, forsømmer desuden deres pligt til at indberette alle deres databehandlere til Datatilsynet. Det gælder Høje Taastrup, Glostrup, Brøndby og Københavns Kommune, men da der kun er tale om en stikprøve, kan der være tale om langt flere kommuner, som ikke overholder kravene i persondataloven.
- Det er en overtrædelse af persondataloven. De vil sandsynligvis få en påtale og blive bedt om at få det bragt i orden ganske snart, siger Nis Peter Dall og påpeger, at kommunerne skal indberette databehandlerne, så Datatilsynet har mulighed for at komme med bemærkninger.
- Jeg er godt klar over, at det er at stikke hånden ned i en hvepserede og åbne pandoras æske, for der vil nok vælte mange skeletter ud af skabet. Men det er den bedste forudsætning for at lave præcise tiltag, siger Karina Lorentzen.
Både Glostrup og Københavns Kommune har efter Version2's afsløringer meldt tilbage, at man fremover vil melde databehandlerne til Datatilsynet. Glostrup oplyser desuden, at den vil lave databehandleraftaler med leverandørerne og føre fast tilsyn med dem i fremtiden.
Brøndby og Høje Taastrup Kommune, der mangler at indberette nogle af dens databehandlerne til Datatilsynet, oplyser begge, at de ikke var klar over kravene på forhånd. De vil også rette aftalerne, hvis de viser sig ikke at leve op til kravene.
Ingen kommentar fra datatilsynet
Datatilsynet vil ikke kommentere på de konkrete kommuners brud på persondataloven og oplyser, at den ikke var bekendt med de manglende indberetninger fra kommunerne.
- Det er jeg ikke klar over på stående fod, men det ville ikke undre mig, hvis der var nogen, der havde glemt at indberette nogle databehandlere, siger kontorchef hos Datatilsynet, Lena Andersen og fortæller, at de pågældende kommuner vil kunne forvente en løftet pegefinger fra Datatilsynet.
Datatilsynet er i øjeblikket ved at foretage stikprøver af datasikkerheden blandt borgerservicecentrene, men har ifølge Lena Andersen endnu ikke planlagt nogen kontrol af jobcentrene på beskæftigelsesområdet.
kil
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb
Afvigelse af ovenstående kræver skriftlig tilsagn fra DK Medier.
