Datatilsynet udtaler "alvorlig kritik" af Randers og Vibrog Kommune.
Det sker efter et tilsynsbesøg fra den danske datamyndighed i 2018, hvor man kunne konstatere, at de to kommuner ikke havde en databehandleraftale med alle systemer, der behandler personoplysninger.
"Det er meget vigtigt for os at passe godt på borgernes data og behandle dem korrekt. Derfor er vi også rigtig ærgerlige over, at vi ikke var færdige med at indgå alle de korrekte databehandleraftaler til tiden," siger Lars Sønderby, direktør for Økonomi, Personale, Digitalisering og IT i Randers Kommune i en pressemeddelelse.
Læs også: Datatilsynet kritiserer politimyndighed: Se afgørelsen her
Kommunen understreger dog, at der ikke er sket noget læk af borgernes persondata.
Også hos Viborg Kommune beklager man, at kommunen ikke har levet op til kravene i EU's persondataforordning.
"Vi er naturligvis kede af, at vi ikke har nået at få alle databehandleraftalerne i hus på fyldestgørende vis, efter EU's persondataforordning (GDPR) trådte i kraft i 2018," skriver kommunen i en meddelelse.
I afgørelsen skriver Datatilsyent, at begge kommuner senest 30. september i år skal sende en redegørelse til tilsynet.
"Datatilsynet skal anmode Randers Kommune om en redegørelse for de databeskyttelsesretlige overvejelser, som kommunen har gjort sig på baggrund af tilsynsbesøget," skriver Datatilsynet i sin afgørelse og tilføjer:
"Datatilsynet skal endelig anmode Randers Kommune om at sende en konkret og detaljeret plan for, hvordan kommunen fremadrettet vil føre det fornødne tilsyn med kommunens databehandlere og underdatabehandlere."
Læs også: Hver tredje virksomhed lever stadig ikke op til GDPR-krav
Omfattende gennemgang af systemer
Randers Kommune skriver i pressemeddelelsen, at siden GDPR trådte i kraft 25. maj, har man været i gang med at identificere alle systemer, der behandler personoplysninger.
Det har ifølge kommunen dog været en noget større opgave, end man først havde regnet med.
"Dels fordi antallet af systemer var større, end vi regnede med, og dels fordi dialogen med leverandørerne har været meget tidskrævende. Store internationale IT-virksomheder skriver ikke bare lige under, fordi en dansk kommune banker på døren med en databehandleraftale i hånden," fortæller Lars Sønderby ifølge meddelelsen.
Kommunen har på nuværende tidspunkt fundet frem til 200 systemer, der kræver en databehandleraftale. 68 manglede ifølge Datatilsynets afgørelse en databehandleraftale.
Viborg Kommune oplyser, at man har 130 systemer, der kræver at man indgår en databehandleraftale. Her manglede kommunen at indgå fem databehandleraftaler.
Her finder du afgørelsen om Randers Kommune.
Her kan du læse afgørelsen om Viborg Kommune.