Artikel top billede

Stikprøver afslører: Datasikkerheden sejler i danske kommuner og regioner

Danske kommuner og regioner tager ikke persondataloven alvorligt nok. I en stikprøveundersøgelse foretaget af Datatilsynet får alle kontrollerede kommuner og regioner anmærkninger.

Sverige blev for nylig rystet af en gigantisk it-skandale, hvor følsomme oplysninger endte i de forkerte hænder på grund af det offentliges lemfældige håndtering af databehandleraftaler.

Men det står tilsyneladende ikke meget bedre til herhjemme.

Ifølge persondataloven har danske kommuner og regioner selv ansvaret for at indgå fyldestgørende aftaler med de virksomheder, der håndterer og opbevarer myndighedernes oplysninger om borgerne, ligesom det også er kommuner og regioner, der skal kontrollere sikkerheden hos virksomhederne.

Man kan således ikke udlicitere sit ansvar.

Men en gennemgang af stikprøver, som Datatilsynet gennemførte hos 16 kommuner og alle fem regioner i 2016, viser, at det står overordentligt skidt til med datasikkerheden.

Ikke en eneste kontrolleret myndighed slap i 2016 igennem kontrollen uden anmærkninger om brud på persondataloven.

Størstedelen af de steder, der blev taget stikprøver, har ikke indgået tilstrækkelige aftaler med databehandlerne, og i mange tilfælde har myndighederne aldrig efterfølgende tjekket, om de private virksomheder håndterer data som aftalt.

Ingen regioner overholder persondataloven

Regionerne er tilsyneladende de dårligste til at holde øje med, om borgernes data bliver behandlet efter reglerne. 

Datatilsynet gennemførte stikprøver hos alle fem regioner i 2016, og ikke en eneste af dem har kontolleret sikkerheden hos databehandlerne, selvom det er et krav ifølge persondataloven.

Tre af regionerne har desuden slet ikke indgået fyldestgørende aftaler med databehandlerne.

Kaos i kommunerne

Også i kommunerne står det skidt til. Ingen af de 16 kontrollerede kommuiner har indgået databehandleraftaler med alle databehandlere, ligesom ingen kommuner heller har gennemført tilstrækkelig kontrol af sikkerheden.

I en sjællandsk kommune har man for eksempel kun indgået skriftlige aftaler med seks ud af 62 databehandlere, ligesom kommunen kun har kontrolleret sikkerheden hos en af de 62.

Ifølge Datatilsynets kontrol lever ingen af de danske regioner og ingen af de 16 kontrollerede kommuner fuldt op til persondataloven.

Fra 25. maj 2018 bliver det meget dyrt sjuske med borgernes data, da den nye persondataforordning træder i kraft.

De mange kommuner og regioner kan dog måske alligevel slippe, da det stadig er usikkert, om der skal kunne uddeles bøder til offentlige myndigheder i Danmark. 

Det kan du læse mere om herunder:

Ny persondatalov: Her er de vigtigste stridspunkter i lovforslaget

Strid om den nye persondatalov: "Bøder til det offentlige giver ingen mening"