I december 2023 traf Datatilsynet afgørelse i fem ud af seks tilsynssager, som blev igangsat i efteråret 2021 vedrørende de udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene fokuserede på overholdelsen af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.
Københavns Kommune får kritik for mangler i konsekvensanalyse
Datatilsynet har nu truffet afgørelse i tilsynssagen med Københavns Kommune, som er den sjette og sidste af disse sager. Datatilsynet har udtalt kritik, da tilsynet har vurderet, at konsekvensanalysen ikke opfylder alle mindstekravene til en konsekvensanalyse. Afgørelsen indeholder derudover nogle anbefalinger til kommunens videre arbejde med den planlagte opdatering af konsekvensanalysen.
I forhold til kommunens risikovurdering har Datatilsynet anbefalet, at Københavns Kommune i deres reviderede risikovurderingskoncept strukturerer oplysningerne, så det bliver muligt at sammenligne risikovurderingerne før og efter implementeringen af foranstaltningerne, og at sammenhængen mellem foranstaltningerne og de enkelte risici fremgår tydeligt. Datatilsynet fandt, at kommunen ikke til fulde havde godtgjort, at passende foranstaltninger var implementeret for at nedbringe alle de risici, kommunen havde identificeret.
Københavns Kommune har dog arbejdet seriøst og målrettet på at nedbringe de identificerede risici. Særligt har kommunen fokuseret på at reducere den risiko, som brugen af UNI-login efter kommunens vurdering indebærer.
Tilsynssagen med Københavns Kommune indeholder flere elementer end de øvrige fem tilsynssager. Datatilsynet blev på baggrund af en presseomtale i foråret 2023 opmærksom på en intern tilsynsrapport fra Københavns Kommunes databeskyttelsesrådgiver, som bl.a. vedrørte kommunens brug af AULAs modul ”Sikker fildeling”. Datatilsynet har derfor i denne sag undersøgt tilsynsrapporten og anmodet kommunen om at besvare nogle spørgsmål.
På baggrund af dette har Datatilsynet i afgørelsen anbefalet Københavns Kommune – eventuelt i dialog med de øvrige kommuner, KOMBIT og KL – at præcisere formålet med behandlingen af personoplysninger i AULA i kommunens konsekvensanalyse. Datatilsynet har ydermere bemærket, at det er relevant at præcisere, hvilke dokumenttyper ”Sikker fildeling” i AULA anvendes til, og hvilke typer personoplysninger disse dokumenttyper typisk indeholder.
Kontaktudvalgsmøde med regionerne og kommunerne
På Datatilsynets kontaktudvalgsmøde med kommunerne og regionerne i maj 2024 var temaet myndighedernes praktiske erfaringer med risikovurderinger og konsekvensanalyser. Her blev der taget udgangspunkt i AULA-tilsynene, hvor Datatilsynet netop havde undersøgt seks kommuners risikovurderinger og konsekvensanalyser.
Datatilsynet havde inviteret Esbjerg Kommune til kontaktudvalgsmødet, for at dele deres praktiske erfaringer med risikovurderinger og konsekvensanalyser om behandlingen af personoplysninger i AULA. Esbjerg Kommune fremhævede vigtigheden af at skabe overblik gennem gode fortegnelser, der danner grundlag for det videre arbejde med databeskyttelse. Kommunen understregede også betydningen af, at man som dataansvarlig integrerer teknologi (løsningerne/systemerne), proces (standarder/arbejdsgange for anvendelse) og personale (den daglige brug) for at identificere og reducere risici, når et nyt system tages i brug.
Esbjerg Kommune påpegede, at det er en forudsætning for arbejdet at have indsigt i medarbejderes arbejdsgange og deres praktiske brug af it-redskaber. Dette kendskab gør det nemmere at foretage risikovurderinger ved fremtidige beslutninger om indkøb og implementering af nye systemer og it-løsninger generelt.
Derudover havde Datatilsynet inviteret KOMBIT til at fortælle om deres videre arbejde og overvejelser efter Datatilsynets orientering om afgørelserne i AULA-tilsynene. Datatilsynet havde i deres orientering bl.a. opfordret til, at kommunerne – og eventuelt i samarbejde med KL og KOMBIT – overvejer at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA. KOMBIT præsenterede deres overvejelser om en eventuel fælles konsekvensanalyse, og flere kommuner kom med bemærkninger og forslag på mødet.
KOMBIT fortalte også om deres compliancepakke, der indeholder en række skabeloner designet til at hjælpe kommunerne med databeskyttelse. De arbejder på at sikre, at disse skabeloner bliver tilgængelige internt for de relevante medarbejdere i kommunerne.
På mødet præsenterede Datatilsynet skabelonen til gennemførelse af konsekvensanalyser for AI-løsninger, som tilsynet på daværende tidspunkt var ved at færdiggøre. Efterfølgende er skabelonen, sammen med en mere generisk skabelon til konsekvensanalyse, offentliggjort på Datatilsynets hjemmeside. De kan findes her.
Vigtig information
Datatilsynets sjette og sidste afgørelse i tilsynssagen med Københavns Kommune kan læses her.
Datatilsynets nyhed om de fem afgørelser kan findes her, hvor der også er link til afgørelserne og Datatilsynets brev til KL, KOMBIT og Styrelsen for It og Læring med orientering om afgørelserne og anbefalinger.
Vil du vide mere?
Læs Datatilsynets vejledning om konsekvensanalyser
Læs EDPB’s vejledning om konsekvensanalyser
Find Datatilsynets skabeloner til gennemførelse af konsekvensanalyser her
Læs Datatilsynets vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger
Find Datatilsynets informationstekst og podcast om risikovurdering her
Læs Datatilsynets vejledning om adfærdskodekser
Find Rådet for Digital Sikkerheds vejledning ”Konsekvensanalyse i praksis” her