“Enten fører de ikke tilsyn, og eller også har det, de fører tilsyn med, intet med sikkerheden at gøre.”
Sådan beskriver kontorchef i Datatilsynet Jesper Vang resultaterne af en række tilsyn med kommuner og regioners forvaltning af borgernes data.
Datatilsynet undersøgte sidste år alle fem regioner og 16 kommuner for at finde ud af, om de kontrollerer sikkerheden hos de virksomheder, de hyrer til at håndtere følsomme oplysning - og det korte svar er, at det gør de ikke.
Læs mere her: Stikprøver afslører: Datasikkerheden sejler i danske kommuner og regioner
Computerworlds gennemgang af tilsynene fra 2016 viser, at ingen af myndighederne lever fuldt op til persondataloven, når de indgår såkaldte databehandleraftaler, og mange steder har man på intet tidspunkt ført tilsyn med, at sikkerheden er ok, hos de virksomheder, der indgås aftaler med.
“Der er store mangler i forhold til overhovedet at indgå databehandleraftaler. Og hos stort set alle myndigheder har vi set, at man ikke fører tilstrækkeligt tilsyn med sikkerheden, selvom persondataloven kræver det,” siger Jesper Vang til Computerworld og tilføjer, at de sjuskende myndigheder udhuler hele ideen med databehandleraftaler.
Pointen med dem er at skabe sikre rammer om outsourcing af det offentliges it-opgaver og undgå skandaler som den, man netop har set i Sverige.
“Værdien af sådan en aftale er meget lille, hvis myndigheden ikke kontrollerer, at det, man har aftalt, bliver overholdt. Så er det ingenting værd.”
Magtesløst tilsyn
Når Datatilsynet opdager, at en myndighed bryder persondataloven, som de tilsyneladende gør hyppigt, så er konsekvenserne meget begrænsede.
Tilsynet rejser en kritik, giver myndighedens lovbrud en karakter som “meget kritisabelt” eller “beklageligt” og beder myndigheden om at få styr på tingene.
Men det er ikke ualmindeligt, at myndighederne ignorerer det påbud, og så er der i dag ikke så meget, Jesper Vang og hans kollegaer kan gøre.
“I visse tilfælde bliver vi sat skakmat, fordi der simpelthen ikke sker noget, selvom vi for eksempel orienterer kommunalbestyrelsen,” siger Jesper Vang.
Gratis lovbrud
Næste år træder den nye persondataforordning fra EU i kraft, og der er lagt op til enorme bøder til virksomheder, der sløser med datasikkerheden. Det er dog langt fra sikkert, det samme bliver tilfældet for offentlige myndigheder.
Det enkelte land kan nemlig selv afgøre, om det offentlige skal kunne få bøder, og i et lovforslag fra Justitsministeriet, der blev sendt i høring kort før sommerferien, tager ministeriet slet ikke stilling til det.
Og ifølge Jesper Vang, kommer det spørgsmål til at have stor indflydelse på, hvor alvorligt myndighederne tager reglerne for datasikkerhed.
“Det bliver afgørende, hvad man vælger fra dansk side. Hvis bøderne ikke kommer, ændrer incitamentet til at rette ind sig heller ikke, og så bliver det det samme, vi kommer til at se.”
Læs også:
Stikprøver afslører: Datasikkerheden sejler i danske kommuner og regioner
Du kan læse mere om persondataforordningen og potentielle bøder til det offentlige her:
Strid om den nye persondatalov: Bøder til det offentlige giver ingen mening
Ny persondatalov: Her er de vigtigste stridspunkter i lovforslaget