Kommune får hug for deres behandling af personoplysninger
Randers Kommune har ikke levet tilstrækkeligt op til kravene om beskyttelse af borgernes personoplysninger, lyder det fra Datatilsynet.
I november 2018 aflagde Datatilsynet Randers Kommune et tilsynsbesøg. Resultatet af tilsynet viser, at der langt fra var styr på kommunens behandling af personoplysninger, og derfor udtaler Datatilsynet nu alvorlig kritik af kommunen.
Læs også
Kritikken falder på, at Randers Kommune på tidspunktet for tilsynet ikke havde indgået en såkaldt databehandleraftale for alle systemer, der behandler personoplysninger.
40 systemer manglede en databehandleraftale og derudover levede nogle af de 28 databehandleraftaler, som kommunen allerede havde indgået, heller ikke op til reglerne.
- Efter en gennemgang af sagen finder Datatilsynet samlet set grundlag for at udtale alvorlig kritik af, at Randers Kommune ikke har efterlevet databeskyttelsesforordningens krav i forbindelse med brugen af databehandlere, lyder det i Datatilsynets afgørelse.
Blev overrasket over opgavens omfang
Randers Kommune har efterfølgende fået de manglende databehandleraftaler på plads, og direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune understreger, at der ikke er sket et læk af data:
- Det er meget vigtigt for os at passe godt på borgernes data og behandle dem korrekt. Derfor er vi også rigtig ærgerlige over, at vi ikke var færdige med at indgå alle de korrekte databehandleraftaler til tiden, og heller ikke havde alle detaljer på plads omkring aftalernes indhold og opfølgningen på disse. Det er i den forbindelse vigtigt for mig at understrege, at der ikke er sket læk af data, siger Lars Sønderby i en pressemeddelelse.
Læs også
I slutningen af maj 2018 blev kravene til databehandleraftaler skærpet og udvidet, og derfor har Randers Kommune været i gang med at identificere alle de systemer, der skulle indgås aftaler med. De nåede bare ikke at blive færdige til Datatilsynets besøg:
- Vi blev ganske enkelt overrasket over, hvor tidskrævende det var at indgå de sidste aftaler. Vi har undervejs i forløbet været i dialog med Datatilsynet og tager naturligvis deres afgørelse i sagen til efterretning, siger Lars Sønderby.
Læs også
Han understreger desuden at der efter tilsynsbesøget er kommet styr på den formelle side af sagen med korrekte databehandleraftaler på alle systemer, at kommunen arbejder videre med at sikre kommunens overholdelse af lovgivningen omkring databeskyttelse.
Databeskyttelsesreglerne i Danmark
Den 25. maj 2018 trådte der nye databeskyttelsesregler i kraft, som afløste den hidtil gældende persondatalov. De nye regler stammer fra EU's såkaldte databeskyttelsesforordning og er i Danmark udmøntet og suppleret i Databeskyttelsesloven.
Reglerne omfatter enhver behandling af personoplysninger, der ikke sker i en rent privat sammenhæng. Personoplysninger er alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person.
I reglerne opdeles personoplysninger generelt i følgende tre kategorier:
- Almindelige personoplysninger (ikke-følsomme) - eksempelvis navn og adresse
- Særlige kategorier af personoplysninger (følsomme) - eksempelvis helbredsoplysninger
- Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
- Den, der behandler personoplysninger, er den dataansvarlige eller databehandleren, alt efter hvilken rolle vedkommende har i behandlingen.
Kilde: Randers Kommune og Datatilsynet