KL: Der er indgået for mange databehandleraftaler

KL: Der er indgået for mange databehandleraftaler

I kølvandet på den nye databeskyttelsesforordning har der været stor usikkerhed i kommunerne og blandt deres leverandører om, hvornår der skulle indgås databehandleraftaler. Resultatet har været, at der er indgået for mange.
Hos KL har man tydeligt kunnet mærke, at databehandleraftalerne har fyldt meget i forbindelse med kommunernes forberedelser til den nye databeskyttelsesforordning.
”Vi har fået rigtig mange henvendelser fra kommuner, der dels har været i tvivl, om der i konkrete tilfælde overhovedet skulle laves en databehandleraftale, dels om de vilkår, der skulle skrives ind i aftalen,” fortæller Pernille Jørgensen, chefkonsulent i KL.
I KL’s dialogportal, der er oprettet i forbindelse med implementeringen af databeskyttelsesforordningen har databehandleraftaler også været et heftigt debatteret emne. Pernille Jørgensen vurderer, at omkring 70 pct. af indlæggene har ligget inden for det område.
Der er ikke noget nyt i, at kommunerne skal indgå databehandleraftaler. Men tidligere foregik det typisk i forbindelse med en it-leverance, eksempelvis fra KMD, hvor rollerne som henholdsvis dataansvarlig og databehandler stort set gav sig selv og ikke førte til større diskussioner. Men med databeskyttelsesforordningen blev kravene til databehandleraftalerne skærpet, og spørgsmålet dukkede op i mange andre sammenhænge end tidligere.
”I efteråret 2017 væltede det ind fra kommunerne med eksempler, hvor kommunen leverede informationer om borgere til eksterne for at få udført en opgave, og hvor der var tvivl, om der skulle laves en databehandleraftale. Det kunne være vognmanden, der bragte mad ud, advokater, private plejehjem, osv.” fortæller Pernille Jørgensen.
De mange eksempler blev givet som input til ”Vejledning om dataansvarlige og databehandlere”, som Datatilsynet og Justitsministeriet udgav i november 2017.
 
Reglerne er ikke ligetil
Pernille Jørgensen peger på flere forhold, der har ført til usikkerheden om, hvorvidt der skulle laves databehandleraftaler eller ej.
”Reglerne er ikke ligetil. Hvornår man behandler oplysninger på vegne af kommunen og dermed bliver såkaldt databehandler, som skal have en databehandleraftale med kommunen, kan være svært at svare på,” forklarer hun og giver et eksempel:
”Behandler en advokat, som løser opgaver for en kommune, oplysninger på vegne af kommunen”? Umiddelbart ville man jo sige, at advokaten som ”kommunens mand” behandler oplysninger på vegne af kommunen. Men det er ikke altid tilfældet rent juridisk.”
Det volder ifølge Pernille Jørgensen også problemer at få defineret, hvem der har den aktive rolle og holdningen til de persondata, der videregives.
”Det skal fastlægges, hvem der afgør til hvilket formål og med hvilke hjælpemidler, at data må håndteres. Det er relevant, fordi hvis modtageren af oplysningerne selv afgør formålet med datahåndteringen, er vedkommende ”selvstændigt dataansvarlig”, og der skal ikke indgås databehandleraftaler med vedkommende.”
Hun giver eksemplet med en privat vognmand, der kører mad ud til kommunens ældre og i den forbindelse får oplysninger om borgerne fra kommunen. Hvem definerer så formålet med håndteringen af data? – Kommunen eller vognmanden?
”Man kunne oplagt sige, at det er kommunen, der definerer formålet, men rent juridisk er vognmanden selvstændigt dataansvarlig,” forklarer Pernille Jørgensen.
 
Ingen praksis at læne sig op ad
En udfordring har ifølge Pernille Jørgensen også været, at med den nye forordning har mange flere leverandører og samarbejdsparter til kommunerne skullet forholde sig til korrekt databeskyttelse, inklusive små leverandører som private bosteder og privatpraktiserende psykologer. Her har der ikke typisk tidligere været fokus på at få indgået databehandleraftaler, så det har været et nyt og svært område for mange – herunder faggrupper som ikke sædvanligvis arbejder med datasikkerhed på samme måde som it-firmaer. Da der heller ikke har været den nødvendige vejledning eller praksis at læne sig op ad, har det i flere tilfælde gjort det svært entydigt at afgøre, om der var tale om en dataansvarlig-databehandlerrelation.
Pernille Jørgensen er enig i, at der kan være sket en overimplementering af databehandleraftaler.
”Alle har jo været nervøse for at blive ramt af kritik og eventuelt bøder og har ønsket at helgardere sig. Og med den usikkerhed, der har været på området, har konsulent- og rådgivningsvirksomheder haft kronede dage. Desværre har vi set eksempler på, at kommunerne har fået forkert rådgivning fra private rådgivningsvirksomheder om, at de skulle indgå databehandleraftaler, som der ikke var krav om. Det er uheldigt, da kommunerne så har brugt midler unødvendigt på at få indgået aftalerne”.
Hanne Marie Motzfeldt, lektor Ph.d. på Juridisk Institut, Aarhus Universitet, og leder af Center for Ret & Digitalisering (CREDI) har også set flere eksempler på dårlig rådgivning.
”Jeg forstår ikke de eksempler, mine kontakter i kommunerne har vist mig. Nogle af dem er helt ude i skoven. Det er simpelthen dårlig rådgivning, hvis de er blevet rådet til at lave de aftaler. Det er slet ikke i databeskyttelsesforordningens ånd,” siger hun og fortsætter:
”Kommunerne skal selvfølgelig ikke bruge tid og kræfter på tilsyn – og på at tage del i balladen, hvis deres bleleverandør ikke har styr på databeskyttelsen. Det skal bleleverandøren selv tage ansvar for – også økonomisk. Jeg vil modstræbende sætte mig ved bordet og snakke om spidsfindigheder, når der bliver sat chip i bleen og dataene flyver på kryds og tværs – men ikke et sekund før. Indtil da er det faktisk lige ud af landevejen.”
Hanne Marie Motzfeldt tilføjer, at hun håber, at Datatilsynet nægter at anerkende databehandleraftalerne, når de første sager om brud på reglerne hos leverandørerne kommer.
 
Sniger ting ind i aftalen
Mange kommuner har brugt en del ressourcer på at få en leverandør til at bruge kommunens databehandleraftale, som typisk er lavet ud fra en skabelon udarbejdet af KL og KOMBIT. Der kan være mange grunde til, at en leverandør insisterer på at anvende deres egen aftaletekst: De behøver i givet fald ikke at forholde sig til alle mulige forskellige aftaler, de har investeret en del penge i at få udarbejdet en aftale, og så kan aftalen være en mulighed for, som Pernille Jørgensen udtrykker det, ”at snige ting ind i aftalen, som ikke burde være der”.
 
”Jeg har set tilfælde, hvor databehandleraftaler fra leverandører har indeholdt bestemmelser om, at kundens data må overdrages til tredjemand til kommercielle formål,” fortæller hun.
Pernille Jørgensen forudser, at efterhånden som der bliver skabt mere klarhed over, hvornår der overhovedet skal indgås en databehandleraftale, vil der være flere eksisterende aftaler, som parterne må annullere. Hun oplyser, at KL sammen med Datatilsynet til efteråret vil arbejde på at få afklaret endnu flere af de kommunale samarbejdskonstruktioner, hvor der er uklarhed omkring, hvornår der skal indgås databehandleraftaler.
 
Forhandling om omkostningerne
Hvis der indgås en databehandleraftale med en leverandør, skal denne kunne dokumentere, at data bliver behandlet korrekt ifølge aftalen. Det har været en selvstændig problemstilling, at nogle leverandører har krævet at den dataansvarlige, dvs. kommunen, har skullet afholde udgiften til eksempelvis et eksternt revisionsfirma. Der har også været tilfælde, hvor leverandøren har forlangt betaling for at anvende en anden databehandleraftale end sin egen.
”Databeskyttelsesforordningens regler om databehandleraftaler regulerer ikke, hvem der skal afholde udgifterne forbundet med udarbejdelsen af en databehandleraftale og kontrollen hermed. Så det er helt op til en forhandling mellem parterne, hvem der skal afholde udgifterne arbejdet og en eventuel ekstern revision,” forklarer Pernille Jørgensen.