Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med kommuner afslører brud på persondataloven

22.11.16

Ved tilsyn med 16 kommuner har Datatilsynet afdækket, at der er problemer med efterlevelsen af persondataloven på de områder, som tilsynet har fokuseret på i sin undersøgelse.

Datatilsynets undersøgelse er sket som en skriftlig indsamling af oplysninger ved brug af spørgeskemaer. Tilsynets spørgsmål går tæt på et udvalg af de emner, hvor persondataloven og sikkerhedsbekendtgørelsen stiller en række formelle krav. Der er tale om stikprøver vedrørende de foranstaltninger, som myndigheder og virksomheder skal have på plads for at beskytte de personoplysninger, de er ansvarlige for. Det er en del af det værn, som skal være med til at forhindre, at personoplysninger kommer på afveje eller kan tilgås af uvedkommende.

Datatilsynet har også været på besøg i seks af kommunerne og fået et mere nuanceret billede af deres arbejde med persondatabeskyttelse. Datatilsynets besøg har givet det generelle indtryk, at kommunerne på en række andre punkter har øget fokus på beskyttelsen af personoplysninger, og at der også er positive tendenser hos kommunerne. Datatilsynet har bl.a. set eksempler på god oplæring af medarbejdere, awareness-kampagner og bedre styr på autorisationer og adgangskontrol.

Leder af Datatilsynets tilsynsenhed – kontorchef Lena Andersen – udtaler i den anledning:

”Vores undersøgelse er fokuseret på en række af de grundlæggende pligter: Man skal have sikkerhedsregler og aftaler med sine databehandlere, og man skal foretage tilsyn og påse, at sikkerheden er på plads, både i eget hus og hos eksterne databehandlerne. Sager som CSC-hackersagen har vist, at netop sikkerheden hos databehandlerne er rigtig vigtig.

Vores stikprøver viser, at nogle af kommunerne faktisk er godt på vej til at få fod på det. Men der er desværre også en del tilfælde, hvor det halter på de specifikke områder, som vi har undersøgt. Selv om der også er gode træk på andre punkter, er der brug for mere fokus på reglerne om aftaler og kontrol.

Jeg vil gerne komme med en kraftig opfordring til alle danske myndigheder og virksomheder om at forøge fokus på databeskyttelsen både hos dem selv og deres leverandører. De krav, som i dag følger af persondataloven, går ikke væk med den nye databeskyttelsesforordning – tværtimod – så det handler om noget endnu mere om, at organisationer, der behandler personoplysninger, skal se at få styr på deres data og deres databehandlere”.

Baggrund
Datatilsynet foretager hvert år en række planlagte tilsyn, hvor tilsynet stiller spørgsmål – nogle gange under besøg på stedet – andre gange ved brug af spørgeskemaer og lign.

I 2016 har Datatilsynet bl.a. foretaget tilsyn med en række af landets kommuner. Tilsynene har været fokuseret på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

De detaljerede udtalelser kan ses på Datatilsynets hjemmeside under ”Afgørelser”. Tilsynets konklusioner er fokuseret på den skriftlige undersøgelse og er afgrænset til de emner og stikprøver, der indgår i tilsynets spørgeskemaer. Tilsynets besøg hos en del af kommunerne har imidlertid givet det generelle indtryk, at kommunerne på en række andre punkter har øget fokus på beskyttelsen af personoplysninger, og at der også er positive tendenser hos kommunerne. Datatilsynet har bl.a. set eksempler på god oplæring af medarbejdere, awareness-kampagner og bedre styr på autorisationer og adgangskontrol.

Datatilsynet har udtalt kritik
De mangler, som undersøgelserne har bragt frem i lyset, giver Datatilsynet grund til at udtale kritik i forskelligt omfang afhængigt af karakteren og omfanget af de fejl, som tilsynet har fundet.

Meget kritisabelt er udtalt til fire kommuner: Langeland, Læsø, Odense og Vejle. Hos disse kommuner har Datatilsynet konkluderet, at der er meget omfattende mangler i efterlevelsen af persondataloven på de områder, som var omfattet af tilsynet. I disse fire kommuner har Datatilsynet endvidere fundet anledning til at orientere byrådet om de konstaterede brud på persondataloven.

Kritisabelt er udtalt til tre kommuner: Kerteminde, Odder og Rudersdal. Hos disse kommuner er der efter tilsynets opfattelse omfattende mangler i efterlevelsen af persondataloven på områder, som tilsynet omfattede.

Meget beklageligt er udtalt til tre kommuner: Assens, Svendborg og Ærø. Hos disse kommuner har Datatilsynet konstateret, at der er mangler i kommunens efterlevelse af persondataloven på et eller flere af de undersøgte områder.

Beklageligt er udtalt til fem kommuner: Horsens, Faaborg-Midtfyn, Rebild, Skanderborg og Vejen. Hos disse kommuner vurderer Datatilsynet de konstaterede mangler til at være af mere begrænset omfang.

Datatilsynet har anmodet kommunerne om at redegøre for, hvilke skridt der vil blive taget for at sikre en bedre efterlevelse af persondataloven fremover – navnlig på de punkter, hvor der er fundet mangler.

En kommune mangler fortsat at svare
En enkelt kommune, Samsø, har trods flere rykkere endnu ikke svaret fuldt ud på Datatilsynets spørgsmål.

Databeskyttelsesforordningen

Den 25. maj 2018 erstatter den nye databeskyttelsesforordning persondataloven, som vi kender den i dag.

Forordningen vil få stor betydning for alle organisationer, der behandler personoplysninger, og for Datatilsynets fremtidige arbejde.

Forordningen har direkte virkning i Danmark og gælder generelt i både den private og den offentlige sektor.

Datatilsynet har udformet en tjekliste med 12 spørgsmål, som dataansvarlige allerede nu med fordel kan forholde sig til.

Læs Datatilsynets tjekliste.


Læs mere
Tilsynsstrategi 2016-2018 - Ny organisation af tilsynsarbejdet
Tilsynsbesøg på Fyn
Datatilsynets hjemmeside om databeskyttelsesreformen

Databeskyttelsesforordningens officielle tekst i EU-Tidende

Kontaktpersoner for yderligere oplysninger 
Kontorchef Lena Andersen, tlf. 33 19 32 50
Fuldmægtig Bjarke Sejer Bro, tlf. 33 19 32 17
Fuldmægtig Cathrine Serup Raasdal, tlf. 33 19 32 13