Randers Kommune får ”alvorlig kritik” af Datatilsynet

Randers Kommune får ”alvorlig kritik” af Datatilsynet

Opgaven med at indgå databehandleraftaler, ifølge de skærpede krav i Databeskyttelsesforordningen, viste sig at være en større opgave end forventet i Randers Kommune. Et planlagt tilsyn af Datatilsynet i november 2018 resulterede derfor i ”alvorlig kritik” af kommunens håndtering af databehandleraftalerne.

Ud af i alt 210 krævede databehandleraftaler manglede Randers Kommune at indgå 68. 40 var ikke indgået og 28 var indgået med afsæt i en ældre skabelon, der ikke levede op til de skærpede krav i Databeskyttelsesforordningen.

I første omgang førte det til, at Datatilsynet varslede en politianmeldelse mod kommunen, men sagen er foreløbig endt med, at Datatilsynet har udtalt ”alvorlig kritik” og udbedt sig både en redegørelse og en plan for, hvordan kommunen fremover vil håndtere databehandleraftaler.

”Vi anerkender fuldt ud, at vi på tidspunktet for Datatilsynets besøg ikke var nået i mål med alle databehandleraftalerne. Opgaven viste sig ganske enkelt at være større end først antaget,” fortæller Lars Sønderby, direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune.

De manglende og mangelfulde databehandleraftaler er nu på plads, og kommunen har sendt både redegørelse og plan til Datatilsynet.

Når Lars Sønderby ser tilbage på et forløb, der også kastede en del medieomtale af sig, kan han ikke få øje på noget, der kunne have været gjort fundamentalt anderledes.

”Jeg synes, vi tog et godt tilløb og kom i gang i god tid. Men da vi først kom ned i materien, viste det sig, at vi havde undervurderet opgavens omfang. Det viste sig, at der var flere systemer end antaget, der krævede databehandleraftale, og så var arbejdet med at indgå de enkelte aftaler mere tidskrævende end forventet.”

Arbejdet med at lande aftalerne var særligt tidskrævende, hvis der sad en stor virksomhed på den anden side af bordet.

”Store globale virksomheder accepterer ikke uden videre den aftaleskabelon fra KL/KOMBIT, som vi sender til dem. Her kunne man måske have grebet det smartere an, da det ikke rigtig giver mening, at hver enkelt kommune skal bokse med Facebook og Microsoft om aftalerne. Det virker ikke som en fornuftig brug af skatteydernes penge,” siger Lars Sønderby.

 

Tydeliggørelse af roller og ansvar

De manglende databehandleraftaler relaterede sig primært til løsninger, som med et godt formål for øje var blevet taget i anvendelse decentralt på en af kommunens skoler eller øvrige institutioner. Et eksempel var JP/Politikens web-løsning Newsdesk.dk, som folkeskoleeleverne anvender i danskundervisningen til at øve sig i at lave avis. Man logger sig på løsningen ved hjælp af UNI-Login, og dermed udløses der krav om en databehandleraftale.

”Egentlig er vi ret centraliseret på it-området, men alligevel bliver der jo anvendt systemer i vores forvaltninger og decentrale enheder, som den centrale it-afdeling ikke nødvendigvis får kendskab til. Man skal huske, at det her er også en kæmpeopgave ude i de enkelte forvaltninger, som har en kerneopgave, som jo ikke nødvendigvis er at hjælpe med at lave data-

behandleraftaler,” forklarer Lars Sønderby.

Et centralt element i kommunens fremtidige arbejde med databehandleraftaler er derfor en tydeliggørelse af ansvars- og rollefordelingen mellem systemejerne, som typisk er de enkelte fagchefer og den centrale

it-afdeling. Derudover er de forskellige steps i processerne i forbindelse med indgåelse af aftalerne og den tilbagevendende opfølgning og kontrol af dem blevet tydeliggjort og indskærpet. Disse tiltag udgør

hovedelementerne i redegørelsen og den plan, som Randers Kommune

har sendt til Datatilsynet.

 

Håndteret inden for budgettet

I medieomtalen af sagen har det været antydet, at Randers Kommune bevidst har nedprioriteret opgaven med at indgå databehandleraftalerne, men det afviser Lars Sønderby.

”Vi har ikke nedprioriteret opgaven, men det er klart, at omfanget af opgaver, der ligger på skrivebordene rundt omkring i kommunerne, er temmelig stort. Og opgaven med at opfylde kravene i Databeskyttelsesforordningen har, tror jeg, vist sig meget større, end langt de fleste kommuner havde forudset.”

Spørgsmålet er så, om der var allokeret de nødvendige ressourcer til opgaven? Hertil svarer Lars Sønderby, at Randers Kommune valgte en bemanding ud fra en betragtning om, at opgaven skulle kunne klares med de ressourcer, som kommunen var blevet kompenseret med, ifølge aftalen mellem KL og regeringen.

”Beslutningen var at håndtere opgaven inden for budgettet, og det gælder også i den fremadrettede indsats med hensyn til indgåelse af data-

behandleraftaler og opfølgning på dem. I udgangspunktet varetager vores egen DPO-funktion den opfølgende kontrol af aftalerne, men vi kigger også på muligheden for at lade eksterne aktører udføre kontrol og revision hos vores databehandlere. Det vil i givet fald medføre en ekstraudgift.”

 

Konflikt med den kommunale service

Lars Sønderby mener, at tiden er kommet til at overveje, om Databeskyttelsesforordningen og håndhævelsen af den på nogle områder konflikter med kommunernes service over for borgerne.

”Sommetider må man stoppe op og overveje: Hvad er ånden egentlig i et stykke lovgivning? Det er næppe ånden i lovgivningen om persondata, at den eksempelvis skal forhindre en kommune i at hjælpe hjemløse borgere ved at sende en sms om en aftale hos kommunen, bare fordi sms er en usikker kommunikationskanal,” siger han og fortsætter:

”Lige nu oplever vi det sammenstød mellem kommunernes ønske om at give borgerne en god service og kravene i Databeskyttelsesforordningen, som blev diskuteret, da forordningen var under udarbejdelse. Jeg tilslutter mig den kritik af for rigid og til tider decideret ufornuftig implementering af forordningen, som KL for nyligt har været ude med. Vi har nu brug for, at man fra lovgivernes side hjælper os med at oversætte forordningen til virkeligheden ude i kommunerne, så vi ikke ender i en situation, hvor vi har mere fokus på at overholde forordningen til punkt og prikke frem for at give borgerne den bedst mulige service.”

 

Vejledning frem for slag over fingrene

Han understreger, at Datatilsynet i forbindelse med tilsynet i Randers har udført den opgave, de forventes at udføre, og at dialogen med Datatilsynet undervejs var helt i orden. Han mener dog, at man godt kan diskutere, hvordan man som tilsyn griber opgaven an.

”Jeg kunne godt tænke mig, at man måske prioriterede dialog og vejledning højere frem for have fokus på, hvad man skal vælge fra ”slag-over-fingrene-kataloget”.

Fire andre kommuner – Viborg, Varde, Holstebro og Ringkøbing-Skjern – har modtaget kontrolbesøg fra Datatilsynet. I Viborg var fokus for kontrollen også på databehandleraftaler, og også her udtalte Datatilsynet ”alvorlig kritik” af kommunens håndtering af databehandleraftalerne.