Artikel top billede

Overblik: Danske kommuner overtræder aftale med staten ved at sende personfølsomme data til udlandet

Overblik: Mere end 30 af landets kommuner bryder en aftale med staten ved at sende føldsomme persondata ud af landet? Her får du et overblik over sagen, som også har kastet tvivl om aftalen for det hidtil største kommunale it-system Aula.

33 danske kommuner sender særligt følsomme data ud af Danmark via KMD's Microsoft Azure-baserede it-system KMD Momentum, der driftes i Amsterdam.

Inden nytår er antallet af kommuner, der bryder aftalen vokset 44.

Det har Computerworld afdækket siden begyndelsen af oktober.

Baggrunden for hele misæren er, at 31 kommuner, der sidenhen er blevet til 33, overtræder en aftale med staten ved at sende personfølsomme oplysninger som cpr-numre, navne og adresser på alle borgere mellem 15 og 80 år, som har været i kontakt med de pågældende kommuners jobcentre, ud af Danmark via KMD Momentum-systemet.

Som nævnt vokser antallet af kommuner, der benytter det Microsoft Azure-baserede system, der driftes i Amsterdam, til 44 inden nytår.

Det skærende punkt er fortolkningen af krigsreglen - den lov, der skal sikre, at fremmede magter i tilfælde af krig ikke kan få adgang til følsomt nationalt data.

Krigsreglen blev opdateret 25. maj, men der har siden bredt sig forvirring om, hvad den nye lov rent faktisk betyder.

Krigsreglen fremgår af persondatalovens § 41, stk. 4, men 25. maj 2018 blev den gamle persondatalov erstattet af den nye databeskyttelseslov, som trådte i kraft sammen med databeskyttelsesforordningen.

Her fremgår krigsreglen af § 3, stk. 9.

Den nye krigsregel er dog blevet lempet væsentligt i forhold til formuleringen i persondataloven.

Det har fået ministerierne på overarbejde.

Ifølge loven er det nemlig op til justitsministeren og de relevante ressortministre, at vurdere, om de pågældende it-systemer og følsomme oplysninger kan forlade Danmark.

Beskæftigelsesministeriet har allerede vurderet, at den gamle krigsregel gælder på beskæftigelsesområdet, indtil Justitsministeriet kommer med de nye retningslinjer, hvilket sker inden nytår.

KMD, der står bag systemet, har fastholdt, at fortolkningen af reglerne af "ny viden" for selskabet, men torsdag afslørede Computerworld, at KMD har kendt til reglerne om den problematiske udflytning af data siden 2014.

Det kan du læse mere om her: Afsløring: KMD kalder det "ny viden" - men selskabet har kendt til problematisk udflytning af persondata siden 2014

Få overblikket over hele sagen her:


Afsløring: 31 kommuner blæser på aftale med staten og sender personfølsomme data ud af landet - og fra nytår er det 44
Selvom alle landets kommuner har aftalt med staten, at de ikke må sende særligt følsomme oplysninger ud af landet, sker det alligevel i næsten hver tredje kommune. Fra nytår sender 44 danske kommuner følsomme oplysninger til udlandet.



Har 12 dage: Regeringen forlanger hastesvar fra kommunerne om udflytning af særligt følsomme persondata til udlandet
Beskæftigelsesminister Troels Lund Poulsen (V) reagerer nu skarpt på, at mange kommuner stik imod en aftale med staten sender personfølsomme data til udlandet. Ministeren kræver, at kommunerne senest 15. oktober redegør tilfredsstillende for, hvordan de vil sikre, at de følsomme data forbliver i Danmark. Se hele ministerens brev her.


KL vil ikke svare på spørgsmål om kommunernes aftalebrud med staten: Her er de vigtige spørgsmål, som KL nægter at svare på
KL nægter at besvare Computerworlds spørgsmål efter afsløringen af, at næsten en tredjedel af de danske kommuner i strid med aftale sender cpr-numre, adresser og navne ud af landet. Se spørgsmålene, som KL ikke vil svare på.


KMD peger på kommunerne efter afsløring af aftalebrud: Alle har været klar over, at vi sender danske persondata til udlandet
Kommunerne har givet deres samtykke til KMD om, at persondata kan sendes til udlandet, meddeler KMD. Det er sket, selv om alle danske kommuner over for staten har forpligtet sig til ikke at sende særligt følsomme oplysninger ud af landet.


Hvordan kunne KMD ikke vide noget om problematisk udflytning af data? Rivalen Schultz spurgte staten om lov i 2017 og fik nej

Schultz, der er KMD's konkurrent som leverandør af it-systemer til landets jobcentre, har hele tiden vidst, at de personfølsomme data, som nu 32 danske kommuner i strid med en aftale har sendt til Holland, ikke må sendes ud af landet. Schultz forespurgte selv staten om muligheden for at drifte fra udlandet i oktober 2017. Det afviste staten.


KMD har haft travlt efter afsløring af persondata-sag: Har kontaktet alle ramte kommuner for at 'redegøre for faktuelle forhold'
KMD har siden onsdag kontaktet selskabets kunder i 44 danske kommuner. Her har KMD givet kommunerne sin vurdering af situationen. Det sker efter, Computerworld onsdag kunne afsløre, hvordan flere danske KMD-kunder bryder en aftale med staten om at beholde særligt følsomme data i Danmark.


Ny afsløring: Kæmpe Aula-aftale kan være i fare - ingen aner om udflytning af danske skole-data til udlandet overhovedet er lovlig
Til sommer skal skolesystemet Aula sættes i drift via mindst et af AWS's europæiske datacentre. Der er bare et problem: Kombit ved endnu ikke, om det er lovligt, at flytte de personlige data fra børn og forældre ud af Danmark.


Efter stort pres:Justitsministeriet klar med længe ventede retningslinjer for data-udflytning inden nytår
KL, Kombit, KMD og mange flere har skreget på Justitsministeriets retningslinjer for fortolkningen af den 'nye' krigsregel. Nu tager Justitsministeriet endelig bladet fra munden og melder ud.


Regeringen vil have Kammeradvokaten til at afgøre sagen om udflytning af danske data: Minister dumper kommunernes svar
Mandag skal de danske kommuner stå skoleret for beskæftigelsesminister Troels Lund Poulsen (V) i sagen om udflytning af følsomme danske data til udlandet. Kommunernes tidligere svar har ikke været tilfredsstillende, oplyser han til Computerworld.


Danske it-virksomheder rammes hårdt af manglende persondata-afklaring: "Det er gift for innovationen og udviklingen i Danmark"

"Det er alt for lang tid. Det er skadeligt for markedet, udviklingen og innovationen at vente. Det er skadeligt for Danmark." Dommen over regeringen er hård fra IT-Branchen, der mener, at den danske it-sektor lider stor skade, mens flere offentlige it-systemer er efterladt i et juridisk limbo.


Kommuner vil ikke svare på ministerens spørgsmål i sag om udflytning af persondata: Se hele deres redegørelse her
De danske kommuner nægter at svare på beskæftigelsesminister Troels Lund Poulsen (V) spørgsmål om, hvordan de vil sikre, at personfølsomme data ikke forlader Danmark.


KL tog to måneder om at skrive disse 12 linjer: Her er hele selskabets redegørelse om dataudflytning til udlandet til ministeren
KL's første redegørelse i sagen om kommunernes udflytning af følsomme data var på blot 12 linjer. Læs hele redegørelsen, som fik dumpekarakter af beskæftigelsesminister Troels Lund Poulsen (V) her.


Staten beordrede kommunerne til at stoppe med at sende personfølsomme data ud i landet i juni: Siden er 11 nye kommuner begyndt at sende data til Holland
I slutningen af juni blev KL beordret af staten til at stoppe danske kommuners tilslutning til it-systemer, der fører data på beskæftigelsesområdet ud af landet. Det er ikke sket. Til gengæld har yderligere 11 kommuner tilsluttet sig KMD Momentum siden.


Afsløring: KMD kalder det "ny viden" - men selskabet har kendt til problematisk udflytning af persondata siden 2014
KMD har hidtil fastholdt, at det har været "ny viden" for selskabet, at følsomme persondata fra landets jobcentre ikke må sendes ud af landet. En SKI-aftale viser dog, at KMD har kendt til reglerne siden 2014. "Selv i det omfang, at KMD ikke har haft de fornødne juridiske kompetencer, burde alle advarselslamper da have blinket i forhold til teksten i SKI-aftalen," lyder det fra juridisk ekspert.