Danske kommuner fylder godt op i listen over planlagte tilsynsbesøg fra Datatilsynet i år. Det offentlige og særligt kommunernes behandling af persondatasikkerheden er i fokus, viser datatilsynets liste over tilsyn i første halvår af 2019.

Således er der fokus på databeskyttelsesrådgiverfunktionen hos kommunerne, autorisation af medarbejdere hos kommunerne samt brug (og genbrug) af data i den kommunale forvaltning.

Kommunerne udgør dermed hvert andet fokusområde for tilsyn indtil sommer, viser listen.

"Datatilsynet har altid – i større eller mindre omfang – fokus på kommunernes behandling af personoplysninger," siger Jesper Husmer Vang, kontorchef og leder af Tilsynsenheden i Datatilsynet.

"Dette skyldes blandt andet, at kommunerne behandler rigtig mange oplysninger om borgerne, herunder også fortrolige og følsomme personoplysninger. Kommunerne er således blandt de dataansvarlige, som Datatilsynet næsten altid har med på vores tilsynsplaner."

Han siger, at det skyldes, at tilsynet har fokus på "myndigheder og virksomheder, der behandler mange fortrolige og følsomme personoplysninger."

Mangler overblik

Hos EY, der er et rådgivnings- og revisionshus, er persondata i dag et vigtigt forretningsområde.

"Et af de helt store områder, jeg venter mig af de kommende tilsyn fra Datatilsynet i kommunerne, er, om kommunerne ligger inde med det samlede overblik over deres tiltag og beredskab indenfor persondataområdet," siger Cathrine S. Raasdal, der er specialist inden for persondataret i EY.

"Kommunerne ligger inde med meget store mængder af følsom persondata, og der er mange tiltag i gang, men jeg kunne godt frygte, at man ikke har det samlede overblik."

Hvorfor?

"Fordi kommunerne er opbygget anderledes end en privat virksomhed. I private virksomheder nedsætter man en gruppe, der udstikker fælles regler, som alle derefter skal følge," siger hun.

"I kommunerne er man opbygget af en masse små selvstændige forvaltninger, der ikke nødvendigvis samarbejder om sådan noget som datasikkerhed. Kommunerne er organiseret på en måde, der stiller meget store krav til central projektstyring, og det giver udfordringer i forhold til implementeringen af de nødvendige persondataretlige tiltag."

Hendes vurdering er, at der både er ressourcer samt "mange gode ting i gang på dette område i kommunerne."

"Men deres overblik er ikke godt nok alle steder. Det betyder, at de kan have vanskeligt ved at dokumentere, hvor de er på dette område, og hvilke tiltag der er i gang, når tilsynet kommer en dag."

KL: Rigtig stor opmærksomhed i kommunerne

Hun tilføjer, at et af Datatilsynets indsatsområder, 'Brug (og genbrug) af data i den kommunale forvaltning', er interessant. Her vil tilsynet se på, om kommunerne har styr på deres behandlingshjemmel, i de tilfælde hvor kommunerne (gen)bruger data i forbindelse med eksempelvis automatiserede beslutninger og vurderinger.

"Det er i den forbindelse afgørende, at kommunen har overblik over sine behandlinger, således at det står kommunen klart, hvorvidt data anvendes til andre formål end det oprindelige formål, og om der er et lovligt grundlag herfor," siger Cathrine S. Raasdal.

"Det stiller således store krav til kommunernes overblik og datakortlægning."

Hos Kommunernes Landsforening KL lyder det i forbindelse med indsatsen overfor kommunerne.

"Den interne brug og håndtering af data har rigtig stor opmærksomhed i kommunerne. Det er et område, som er stærkt lovreguleret, og som kommunerne er meget opmærksomme på at sikre overholdelse af," siger Pia Færch, kontorchef i Digitalisering og Teknologi i KL.

Datatilsynet vil sætte spot på kryptering af mails og brud på persondatasikkerhed

Combitech gør klar til at erobre flere kunder med nyt strategisk sats