Unødvendige databehandleraftaler koster dyrt i kommunerne

Unødvendige databehandleraftaler koster dyrt i kommunerne

Mange kommuner har indgået databehandleraftaler med leverandører og dermed pådraget sig forpligtelser som dataansvarlige, uden at det har været nødvendigt. Kommunikationen om emnet er svært – både internt i kommunen og over for leverandørerne.

Databehandleraftaler har fyldt rigtig meget i kommunernes implementering af den nye databeskyttelsesforordning. Hvornår skulle der overhovedet indgås en aftale, hvordan har man kunnet sikre sig, at det blev kommunens ordlyd – baseret på skabelonen fra KL/KOMBIT – der blev anvendt, og hvem skal afholde udgifterne i forbindelse med indgåelse af aftalerne og efterfølgende kontrol? Det har været nogle af hovedspørgsmålene.

Kit Magasinet har talt med tre kommuner, Favrskov, Vesthimmerland og Aabenraa om emnet, og i alle tre kommuner er der – eller kan det ikke afvises, at der er – skrevet under på databehandleraftaler fremsendt af en leverandør, hvor det ikke har været nødvendigt med en aftale. Konsekvensen har været, at kommunen – helt unødvendigt - er blevet dataansvarlig.

”Umiddelbart virker det pænt og ordentligt, at leverandører, der har fået oplysninger om borgere i forbindelse med en opgave for kommunen, sender os en databehandleraftale til underskrift. Men vi risikerer at skyde os selv i foden ved at skrive under på aftalerne og dermed påtage os de forpligtelser og omkostninger, der følger med at være dataansvarlige – ikke mindst i forbindelse med kontrollen af, om leverandørerne håndterer data korrekt,” siger Henrik Brix, it-chef i Favrskov Kommune.

 

Ingen central kontrol

Fælles for de tre kommuner er, at databehandleraftaler fremsendt af leverandører ikke nødvendigvis bliver sendt forbi en central funktion, hvor man kan tage en kommunal vurdering af, om der overhovedet skal indgås en databehandleraftale.

”Jeg får måske 95 procent af aftalerne ind over mit bord, men ude i organisationen kan der godt være skrevet under på aftaler, som afviger fra de krav, som vi stiller i vores egen aftale,” fortæller Lone Broberg, Databeskyttelsesrådgiver (DPO) i Vesthimmerlands Kommune. Samme melding kommer fra Thomas Majholt, digitaliseringskonsulent i Aabenraa Kommune.

”Det er meldt ud i organisationen, at jeg kan rådgive om databehandleraftalerne, men det er ikke formuleret som et krav, at de skal forbi mig til en vurdering. Så jeg kan ikke udelukke, at der er skrevet under på aftaler, der ikke burde være indgået”.

 

Svært budskab

Kommunikationen om databehandleraftalen i organisationen er, ifølge Pia Dalsgaard Pehrsson, DPO og informationssikkerhedskoordinator i Favrskov Kommune, en af de helt store udfordringer.

”Det er bare meget svært at få italesat konsekvenserne af at underskrive databehandleraftaler ud i yderste led af den kommunale organisation. Tidligere var databehandleraftaler stort set udelukkende et emne i forhold til kommunens samarbejde med leverandører af it-services, men nu kommer det op i forbindelse med mange andre typer leverancer – også fra små leverandører – og de bliver typisk håndteret decentralt.”

Trods de svære odds forsøger man i alle tre kommuner ihærdigt at kommunikere budskabet så langt ud som muligt for at skabe den nødvendige opmærksomhed på problemstillingen.

 

Annullering er ressourcekrævende

Selvom det reelt kan være et problem at afgøre, om der skal indgås en databehandleraftale eller ej, så er der ifølge projektleder Søren Gormsen, Favrskov Kommune, skabt unødig usikkerhed om spørgsmålet.

”Der har været rigtig mange artikler og indslag i medierne, der har strittet i alle mulige retninger, og det tror jeg har fået en del virksomheder til at sende databehandleraftaler til deres kunder, hvor det ikke har været nødvendigt. Hvis man for eksempel læste bare de første par sider i Datatilsynets/Justitsministeriets udmærkede vejledning, ville man have kunnet undgå mange af de aftaler.”

I forhold til leverandørerne er strategien i de tre kommuner at tage det sag for sag og ikke forsøge sig med en generel udmelding. Også her er udfordringen, at det er svært stof og ikke noget, der ligger øverst på listen over det, et privat bosted, en privatpraktiserende psykolog, høreapparatleverandøren eller den lokale tømrermester bruger tid på at fordybe sig i.

Hvis der så er indgået unødvendige aftaler, er det vel bare med at komme i gang med at få dem annulleret?

”Det er ressourcekrævende at give sig i kast med at annullere allerede indgåede aftaler, og med de mange andre opgaver, vi skal prioritere, kan vi i hvert tilfælde ikke lige nu gå i gang med det,” siger Lone Broberg.

Nogenlunde samme melding lyder fra Favrskov.

”Jeg håber, vi på et tidspunkt kan tage en opfølgende runde og få annulleret nogle af de unødvendige aftaler, men det kan være svært i forhold til de mange andre opgaver, der også er vigtige,” siger Pia Dalsgaard Pehrsson.

 

Hvem skal betale?

I de tre kommuner er der brugt betydelige ressourcer på at få leverandører overbevist om, at hvis der skal indgås en databehandleraftale, så er det kommunens aftaletekst, der skal anvendes – baseret på skabelonen fra KL/KOMBIT. Mange leverandører har fået udarbejdet deres egen og insisterer på at bruge den. Det kan der være flere grunde til, for eksempel at de på den måde ikke skal bruge ressourcer på at forholde sig til mange forskellige aftaler. Thomas Majholt, Aabenraa Kommune, oplever, at der kan være andre grunde.

”Nogle leverandører vil gerne gennem alle mulige forbehold i deres egen aftale sikre sig, at de kan fastholde status quo fra før den nye databeskyttelsesforordning. Og hvis de forpligter sig til mere, så vil de have betaling for det. Nogle vil så også have betaling for overhovedet at kigge på den aftale, vi kommer med,” fortæller han.

Netop spørgsmålet om hvem der skal afholde udgifterne i forbindelse med udarbejdelsen af aftalerne har været et varmt emne – både mellem kommunerne og deres leverandører og i den dialogportal på KL’s hjemmeside, hvor kommunerne har diskuteret databehandleraftaler med hinanden.

I Aabenraa Kommune er udgangspunktet, at man anvender kommunens skabelon, og at det ikke skal koste kommunen noget. I praksis kan det dog komme an på en konkret forhandling, fortæller Thomas Majholt.

”I virkeligheden ville vi helst have en fast pris i kontrakten frem for en betaling for anvendte timer, hvilket jo er vanskeligt at budgettere med. Men ellers pejler vi efter at bruge KL/KOMBITs aftale med KMD som grundlag, hvor det eksempelvis koster noget at få leverandøren til at udtrække logoplysninger af et system, mens det ikke koster ekstra for en erklæring om, at leverandøren lever op til et givet regelsæt.”

I Aabenraa Kommune har man set sig nødsaget til at opsige samarbejdet med en leverandør, der insisterede på at anvende sin egen aftale, men Thomas Majholt understreger, at det er undtagelsen.

”En del leverandører, som har fremsendt deres egen aftale, har blot gjort det for at yde en god service, og de har typisk været meget villige til i stedet at anvende kommunens aftaletekst.”

I Vesthimmerlands Kommune er holdningen også, at databehandleraftalerne ikke skal koste kommunen noget.

”Vi vil jo gerne have, at leverandøren anvender vores aftale, men det er der leverandører, der har krævet betaling for, men det får de ikke. Vi har også været ude for, at man er gået med til at anvende vores aftale, men har villet rette i den,” siger Lone Broberg.