Stikprøver afslører: Datasikkerheden sejler i danske kommuner og regioner

Danske kommuner og regioner tager ikke persondataloven alvorligt nok. I en stikprøveundersøgelse foretaget af Datatilsynet får alle kontrollerede kommuner og regioner anmærkninger.

Artikel top billede

(Foto: Computerworld)

Sverige blev for nylig rystet af en gigantisk it-skandale, hvor følsomme oplysninger endte i de forkerte hænder på grund af det offentliges lemfældige håndtering af databehandleraftaler.

Men det står tilsyneladende ikke meget bedre til herhjemme.

Ifølge persondataloven har danske kommuner og regioner selv ansvaret for at indgå fyldestgørende aftaler med de virksomheder, der håndterer og opbevarer myndighedernes oplysninger om borgerne, ligesom det også er kommuner og regioner, der skal kontrollere sikkerheden hos virksomhederne.

Man kan således ikke udlicitere sit ansvar.

Men en gennemgang af stikprøver, som Datatilsynet gennemførte hos 16 kommuner og alle fem regioner i 2016, viser, at det står overordentligt skidt til med datasikkerheden.

Ikke en eneste kontrolleret myndighed slap i 2016 igennem kontrollen uden anmærkninger om brud på persondataloven.

Størstedelen af de steder, der blev taget stikprøver, har ikke indgået tilstrækkelige aftaler med databehandlerne, og i mange tilfælde har myndighederne aldrig efterfølgende tjekket, om de private virksomheder håndterer data som aftalt.

Ingen regioner overholder persondataloven

Regionerne er tilsyneladende de dårligste til at holde øje med, om borgernes data bliver behandlet efter reglerne. 

Datatilsynet gennemførte stikprøver hos alle fem regioner i 2016, og ikke en eneste af dem har kontolleret sikkerheden hos databehandlerne, selvom det er et krav ifølge persondataloven.

Tre af regionerne har desuden slet ikke indgået fyldestgørende aftaler med databehandlerne.

Kaos i kommunerne

Også i kommunerne står det skidt til. Ingen af de 16 kontrollerede kommuiner har indgået databehandleraftaler med alle databehandlere, ligesom ingen kommuner heller har gennemført tilstrækkelig kontrol af sikkerheden.

I en sjællandsk kommune har man for eksempel kun indgået skriftlige aftaler med seks ud af 62 databehandlere, ligesom kommunen kun har kontrolleret sikkerheden hos en af de 62.

Ifølge Datatilsynets kontrol lever ingen af de danske regioner og ingen af de 16 kontrollerede kommuner fuldt op til persondataloven.

Fra 25. maj 2018 bliver det meget dyrt sjuske med borgernes data, da den nye persondataforordning træder i kraft.

De mange kommuner og regioner kan dog måske alligevel slippe, da det stadig er usikkert, om der skal kunne uddeles bøder til offentlige myndigheder i Danmark. 

Det kan du læse mere om herunder:

Ny persondatalov: Her er de vigtigste stridspunkter i lovforslaget

Strid om den nye persondatalov: "Bøder til det offentlige giver ingen mening"

Navnenyt fra it-Danmark

Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job