Debat

Datatilsynet udtaler alvorlig kritik af Randers Kommune

Efter et tilsynsbesøg i november 2018 har Datatilsynet nu tilsendt Randers Kommune en afgørelse, hvor der udtales alvorlig kritik af kommunen.

Det sker, fordi kommunen på tidspunktet for besøget ikke havde indgået såkaldte databehandleraftale for alle systemer, som behandler personoplysninger, ligesom aftalernes indhold og opfølgningen på disse ikke i alle tilfælde levede op til reglerne. De manglende databehandleraftaler er efterfølgende kommet på plads, og der er ikke sket læk af borgernes data.

– Det er meget vigtigt for os at passe godt på borgernes data og behandle dem korrekt. Derfor er vi også rigtig ærgerlige over, at vi ikke var færdige med at indgå alle de korrekte databehandleraftaler til tiden, og heller ikke havde alle detaljer på plads omkring aftalernes indhold og opfølgningen på disse. Det er i den forbindelse vigtigt for mig at understrege, at der ikke er sket læk af data – siger Lars Sønderby, direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune.

– Vi anvender en lang række systemer til at behandle data. Systemerne har ikke været påvirket, men det formelle grundlag for systemleverandørernes databehandling nåede vi ikke at få på plads for alle vores systemer. Det er naturligvis meget beklageligt. Arbejdet er dog efterfølgende færdiggjort, ligesom vi løbende kontrollerer, at disse aftaler bliver overholdt og efterlevet – siger Lars Sønderby.

Større opgave end forventet
I forbindelse med at der trådte en ny forordning om datasikkerhed i kraft i slutningen af maj 2018 blev kravene til databehandleraftaler skærpet og udvidet. Derfor har Randers Kommune været i gang med at identificere alle de systemer, der skulle indgås aftaler for.

– Vi har støvsuget alle områder af kommunen for anvendelse af systemer, som kræver en databehandleraftale. Det viste sig at være en noget større opgave end forventet. Dels fordi antallet af systemer var større, end vi regnede med, og dels fordi dialogen med leverandørerne har været meget tidskrævende. Store internationale IT-virksomheder skriver ikke bare lige under, fordi en dansk kommune banker på døren med en databehandleraftale i hånden – fortæller Lars Sønderby.

Der er i processen identificeret mere end 200 systemer, som Randers Kommune skal have databehandleraftaler på. Det gælder lige fra store systemer fx på socialområdet til små webbaserede løsninger som JP/Politikens web-løsning for skoleelever (Mynewsdesk.dk), hvor elevernes anvendelse af Uni-login udløser krav om en databehandleraftale.

Korrekte databehandleraftaler er nu på plads
Da Datatilsynet var på tilsyn i Randers Kommune den 11. november 2018 var der for 28 aftalers vedkommende anvendt en ældre skabelon af databehandleraftaler, og der manglede at blive indgået aftaler for 40 systemer. For en række af disse stod kravene til databehandling i kontrakten om det enkelte system, men manglede at blive opdateret til de nye krav og samlet i en databehandleraftale.

– Vi blev ganske enkelt overrasket over, hvor tidskrævende det var at indgå de sidste aftaler. Vi har undervejs i forløbet været i dialog med Datatilsynet og tager naturligvis deres afgørelse i sagen til efterretning. Efter tilsynsbesøget har vi fået fuldt ud styr på den formelle side af sagen med korrekte databehandleraftaler på alle relevante systemer og vi arbejder ufortrødent videre med at sikre kommunens overholdelse af lovgivningen omkring databeskyttelse – slutter Lars Sønderby.

Kommentarer