DK Nyt
Kommunen.dk
DK Havenergi
DK Vindkraft
DK Social
DK Sundhed
DK Teknik
DK Økonomi
DK Job

Smæk til kommuner for sjusk med persondata

Datatilsynet fandt varierende grader af problemer hos alle 16 undersøgte kommuner
23. NOV 2016 13.39

Samtlige 16 kommuner, som Datatilsynet har udtaget til planlagte tilsyn i år, har i varierende grad problemer med efterlevelsen af persondataloven på de områder, som tilsynet har undersøgt. Til overflod har en enkelt af kommunerne, Samsø, 'trods flere rykkere endnu ikke svaret fuldt ud' på Datatilsynets spørgsmål, oplyser tilsynet på sin hjemmeside.

Kritikken af kommunerne falder i fire sværhedsgrader. Værst står det til i Langeland, Odense, Læsø og Vejle kommuner, hvor der ifølge Datatilsynet er 'meget omfattende mangler i efterlevelsen af persondataloven'. Alle kommuner er tjekket på de samme otte punkter, og jo flere problemer, jo alvorligere kritik.

Fra 'meget kritisabelt' til 'beklageligt'
I den formelle terminologi karakteriseres overtrædelserne som 'meget kritisable', og det er en så alvorlig kritik, at Datatilsynet har orienteret byrådene direkte. Som eksempel kan nævnes, at Odense ikke har fastsat retningslinjer for sit eget tilsyn, ikke har ført tilsyn med logning, og ikke har ført tilsyn med at sikre, at autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede, og derudover også noteres for tre andre overtrædelser, mens to punkter ikke giver anledning til anmærkninger.

Lidt længere nede på kritik-skalaen med betegnelsen 'kritisabel' ligger Odder, Kerteminde og Rudersdal kommuner, hvor Datatilsynet har fundet 'omfattende mangler'.

Yderligere et trin nede ligger Ærø, Svendborg og Assens kommuner, hvor der er 'mangler i kommunens efterlevelse af persondataloven på et eller flere af de undersøgte områder'. Betegnelsen er her 'meget beklageligt'.

Lavest på kritik-skalaen ligger Horsens, Faaborg-Midtfyn, Skanderborg, Vejen og Rebild kommuner, hvor Datatilsynet vurderer 'de konstaterede mangler til at være af mere begrænset omfang', hvilket man finder 'beklageligt'.  Som eksempel kan nævnes at at Rebild ikke har sørget for at påse sikkerheden hos databehandlerne, og kun 'i vidt omfang' har overholdt krav om skriftlige databehandleraftaler, mens der intet er at bemærke vedrørende de resterende seks kontrolpunkter. 

Skriftlige spørgsmål og besøg
Endelig er der som nævnt Samsø Kommune, der som nævnt ikke har svaret på tilsynets spørgsmål.

Undersøgelsen af de 16 kommuner er sket som en skriftlig indsamling af oplysninger ved brug af spørgeskemaer, og yderligere ved besøg i seks af kommunerne. De skriftlige spørgsmål er stikprøver vedrørende de foranstaltninger, som myndigheder og virksomheder skal have på plads for at beskytte de personoplysninger, de er ansvarlige for.

Trods kritikken af kommunerne har besøgene 'givet det generelle indtryk, at kommunerne på en række andre punkter har øget fokus på beskyttelsen af personoplysninger, og at der også er positive tendenser hos kommunerne'. Datatilsynet nævner som eksempler  god oplæring af medarbejdere, awareness-kampagner og bedre styr på autorisationer og adgangskontrol.

'Brug for mere fokus'
- Vores stikprøver viser, at nogle af kommunerne faktisk er godt på vej til at få fod på det. Men der er desværre også en del tilfælde, hvor det halter på de specifikke områder, som vi har undersøgt. Selv om der også er gode træk på andre punkter, er der brug for mere fokus på reglerne om aftaler og kontrol, siger lederen af Datatilsynets tilsynsenhed, kontorchef Lena Andersen.

- Vores undersøgelse er fokuseret på en række af de grundlæggende pligter: Man skal have sikkerhedsregler og aftaler med sine databehandlere, og man skal foretage tilsyn og påse, at sikkerheden er på plads, både i eget hus og hos eksterne databehandlerne. Sager som CSC-hackersagen har vist, at netop sikkerheden hos databehandlerne er rigtig vigtig, siger Lena Andersen.

Hun gør tillige opmærksom på, at persondataloven i 2018 vil blive erstattet af en ny databeskyttelsesforordning, og understreger at 'de krav, som i dag følger af persondataloven, går ikke væk med den nye databeskyttelsesforordning – tværtimod', siger hun, skal organisationer, der behandler personoplysninger, 'se at få styr på deres data og deres databehandlere'.

 

Se de enkelte tilsynsafgørelser, for hver kategori nævnt i rækkefølge fra flest til færrest kritikpunkter: