Datatilsynet: ”Kommunernes opgave med GDPR er overordentligt kompleks”

Datatilsynet: ”Kommunernes opgave med GDPR er overordentligt kompleks”

Kommunernes opgave med at vedligeholde databehandleraftaler, ifølge GDPR-forordningen, er kompleks. ”Derfor er der heller ikke uddelt bøder til kommunerne efter en række tilsyn,” siger tilsynschef Frederik Viksøe Siegumfeldt, Datatilsynet, som efter tilsyn i bl.a. Randers og Viborg kommuner, har rejst alvorlig kritik.

Efter at Datatilsynet udførte kontrolbesøg i en række kommuner, gav Datatilsynet i sin afgørelse ”alvorlig kritik” af Viborg og Randers kommuner af deres håndtering af databehandleraftaler.

”Som tilsyn blev vi først og fremmest overrasket over mangfoldigheden i leverandørlandskabet i kommunerne. Der er rigtig mange databehandleraftaler. Det var et noget større antal, end vi på forhånd forventede. Det betyder, at en kommune skal have styr på mange ting, fordi en databehandleraftale også kan omfatte underleverandører. Det, kommunerne skal tage stilling til, er at være sikre på, at databehandleraftalen afspejler hele leverandørkæden – såvel hovedleverandører som underleverandører,” siger Frederik Viksøe Siegumfeldt.

I forlængelse af tilsynene hos Randers og Viborg kommuner rettede Datatilsynet som nævnt alvorlig kritik af de to kommuner. Randers Kommune havde ikke indgået alle de databehandleraftaler de skulle. Ud af alt 210 databehandleraftaler, som kommunen skulle indgå, manglede der 68 aftaler, da tilsynet foregik. Det svarer til omkring en tredjedel af alle aftaler. I Viborg Kommune manglede fem databehandleraftaler.

”Vi rejser alvorlig kritik i begge tilfælde. Vi har forskellige sanktionsmuligheder, og i den forbindelse skelner vi typisk mellem ”kritik” og ”alvorlig kritik”. En afgørelse kan også indebære et påbud om at iværksætte bestemte initiativer. Hvis vi synes, det er rigtig problematisk, kan vi indgive en politianmeldelse med et forslag om en bøde. Det har vi ikke gjort. Det er klart, hvis de dataansvarlige ikke havde forholdt sig til de manglende databehandleraftaler, så er det klart skærpende. Men i begge kommuner havde de dataansvarlige et klart overblik over, hvad der manglede, og kunne på troværdig vis fremlægge planer for, hvordan de ville nå i mål,” siger Frederik Viksøe Siegumfeldt. 

Han tiltrådte i maj 2019 som ny tilsynschef i Datatilsynet. Han kom fra Københavns Kommunes Koncern IT og har tidligere arbejdet i telebranchen, i flere forskellige styrelser og for en del år siden også som juridisk fuldmægtig i Datatilsynet. Så han har siddet på samme side af bordet som de dataansvarlige i kommunerne.

Står ikke dårligt til

Han mener ikke, det generelt set står dårligt til med datasikkerheden i landets kommuner, selv om der er rejst alvorlig kritik i forbindelse med de konkrete tilsyn. Han henviser til, at GDPR trods alt er en relativ ny regulering og at det kan være en kompleks opgave for kommunerne.

”Nogle af de store kommuner runder mellem 700 og 800 forskellige it-systemer. Der er selvfølgelig store leverandører på markedet, som tegner sig for en stor del af de systemer. Men der er også rigtig mange små og mellemstore leverandører i blandt. Og i sidste ende sidder kommunen med ansvaret for at vedligeholde og føre tilsyn med alle leverandører gennem underskrevne databehandleraftaler. En de erkendelser, Datatilsynet har

opnået ved tilsyn, er, at det er en utrolig kompleks opgave kommunerne har, fordi leverandørlandskabet er så mangfoldigt”.

 

Bliver klogere

Frederik Viksøe Siegumfeldt siger, at både Datatilsynet og kommunerne bliver klogere undervejs. Dette gælder ikke kun for danske forhold. Det gælder for alle europæiske datatilsyn. ”Vi gør os løbende nogle erfaringer, og skeler til hinanden. I takt med vi bliver klogere, desto bedre bliver vores vejledning og rådgivning”.

”Generelt vil vi gerne prioritere vores rådgivning højere. Vi har et godt samarbejde med KL, og vi har en ambition om, at vi i 2020 gerne vil opprioritere vejledning og rådgivning,” siger han.

Han siger, at det inden for rimelighedens grænser ikke kun handler om, at Datatilsynet skal slå folk i hovedet. Datatilsynet skal også yde vejledning og rådgivning. Vi er på et område, hvor vi skal blive klogere med tiden. Alene i forordningens artikel 57 er der oplistet 22 opgavetyper. 

Frederik Viksøe Siegumfeldt: ”Vi har været i flere kommuner og føre tilsyn. Vi har ikke belæg for at sige, at det generelt står dårligt til med sikkerheden i landets kommuner. Hverken i forhold til datasikkerhed eller i forhold til implementeringen af de øvrige GDPR-forpligtelser. Det er klart, vi ofte finder noget, når vi kommer ud og skraber i overfladen. Men vores tilsyn handler ikke kun om at finde fejl. Vi skal også som tilsyn finde ud af, hvordan kommunerne arbejder i deres organisation. Vi har en igangværende undersøgelse af DPOerne i kommunerne. Det ser nogenlunde godt ud. Jeg har derfor ikke belæg for at sige, at det ser skidt ud i kommunerne. Snarere tværtimod”.

 

Datafortegnelser

I GDPR er der ligeledes et krav om, at de dataansvarlige og databehandlerne laver ”fortegnelser over deres behandling af persondata”.

Datatilsynet har også ført tilsyn med fortegnelser i kommunerne.

”Vi har kunnet konstatere, at fortegnelserne ikke altid giver det overblik, som vi havde forventet. Der er krav i GDPR om, at en dataansvarlig skal lave en fortegnelse, der giver et overblik over behandlingsaktiviteterne i en organisation”.

”I forbindelse med vores tilsyn er vi blevet klogere, og det har givet anledning til, at vi nu også ser på vores egne rådgivningsmuligheder, herunder vores egen vejledning på området. Vi er ikke eksperter i, hvordan kommunerne organiserer sig. Når vi får det indblik, kan vi bedre rådgive kommunerne, og det er et godt eksempel på, at vi bevæger os ud i et nyt land,” siger Frederik Viksøe Siegumfeldt.