Datatilsynet har været på stikprøvebesøg i 16 danske kommuner for at tage temperaturen på, om persondataloven overholdes.
Den korte konklusion er: Det gør den ikke alle steder.
De mangler, som undersøgelserne har bragt frem i lyset, giver nemlig Datatilsynet grund til at udtale kritik i forskelligt omfang afhængigt af karakteren og omfanget af de fejl, som tilsynet har fundet.
"Vores stikprøver viser, at nogle af kommunerne faktisk er godt på vej til at få fod på det. Men der er desværre også en del tilfælde, hvor det halter på de specifikke områder, som vi har undersøgt. Der er brug for mere fokus på reglerne om aftaler og kontrol," lyder det fra Datatilsynets leder, kontorchef Lena Andersen.
Fire kommuner, Langeland, Læsø, Odense og Vejle har fået prædikatet: "Meget kritisabelt".
I disse kommuner har Datatilsynet konkluderet, at der er meget omfattende mangler i efterlevelsen af persondataloven på de områder, som var omfattet af tilsynet. "I disse fire kommuner har Datatilsynet endvidere fundet anledning til at orientere byrådet om de konstaterede brud på persondataloven," skriver tilsynet på sin webside.
"Kritisabelt" er udtalt til tre kommuner, nemlig Kerteminde, Odder og Rudersdal.
Desuden har tre kommuner fået beskeden "Meget beklagelig" og fem kommuner har fået en hilsen fra Datatilsynet, hvor der står "Beklagelig".
I praksis betyder det, at kommunerne skal redegøre for, hvilke skridt der vil blive taget for at sikre en bedre efterlevelse af persondataloven fremover.
Udover stikprøvekontrollen har Datatilsynet været på besøg i seks kommuner og kan i den forbindelse fortælle, at "kommunerne på en række andre punkter har øget fokus på beskyttelsen af personoplysninger, og at der også er positive tendenser hos kommunerne. Datatilsynet har blandt andet set eksempler på god oplæring af medarbejdere, awareness-kampagner og bedre styr på autorisationer og adgangskontrol."
Kritiseret kommune: Vi er i fuld gang
Vejle Kommune, der er an af de kommuner, der har fået stemplet "Meget Kritisabelt" er ikke helt enige i den vurdering.
"Vi er i gang på alle de områder, som Datatilsynet kritiserer os for," siger Harald-Åge Mortensen, chef for Digitalisering & Analyse i Vejle Kommune, og han fortsætter:
"Datatilsynet har bedt om en redegørelse, og den har vi sendt afsted."
Passer I godt nok på borgernes personlige data?
"Ja, det mener jeg bestemt. Vi har ikke haft nogen sager med data, der er blevet kompromitterede. Så ja, det gør vi."
Hvad har det betydet, at Datatilsynet har kritiseret jer i denne forbindelse?
"Det er aldrig rart at blive kritiseret i dette spørgsmål. Helt praktisk betyder det, at vi har sat ekstra fokus på sikkerhedsområdet."
I 2018 kommer EU's persondataforordning, der strammer yderligere op omkring persondatasikkerheden. Bliver I klar til at overholde den?
"Ja, det gør vi."
I Rudersdal Kommune erkender Signe Bockhahn Bjerregaard, der er områdechef for borgerservice og digitalisering, at kritikken er berettiget.
"Vi har problemer på de områder, som Datatilsynet har påpeget," siger hun, og fortsætter:
"Men vi arbejder på at få det rettet, og vi var allerede i gang, inden Datatilsynet kom på besøg."
Kan borgerne være helt sikre på, at jeres kommune har styr på de private oplysninger?
"Ja. Det kan de," siger hun til Computerworld.
Fire områder i fokus
Datatilsynets undersøgelse er sket som en skriftlig indsamling af oplysninger ved brug af spørgeskemaer.
I undersøgelsen har Datatilsynene haft fokus på:
Uddybende sikkerhedsregler
Myndighedens eget tilsyn
Databehandleraftaler
Myndighedens kontrol med databehandlere
"Vores undersøgelse er fokuseret på en række af de grundlæggende pligter: Man skal have sikkerhedsregler og aftaler med sine databehandlere, og man skal foretage tilsyn og påse, at sikkerheden er på plads, både i eget hus og hos eksterne databehandlerne. Sager som CSC-hackersagen har vist, at netop sikkerheden hos databehandlerne er rigtig vigtig," lyder det fra Lena Andersen.
Du kan se hele Datatilsynets tjekliste her (PDF).
Den 25. maj 2018 erstatter den nye databeskyttelsesforordning fra EU den persondatalov, som vi kender den i dag.
Forordningen strammer yderligere op omkring sikkerhed i både den private og den offentlige sektor med henblik på, at sikre den enkelte borgers digitale identitet.
Du kan læse mere om EU-reglerne her:
Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed
Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning
CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde
