Rigsrevisionen kritiserer myndighedernes håndtering af persondata
tekst Thomas Kokholm Nielsen
Når offentlige myndighederne lader private firmaer få adgang til borgernes persondata, så bliver der for eksempel alt for sjældent udarbejdet risikovurderinger. Rigsrevisionen har i en ny undersøgelse vurderet, at konsekvensen er en øget risiko for, at borgernes følsomme og fortrolige data kompromitteres.
Rigsrevisionen kritiserer en række myndigheder for ikke at have gjort nok for at sikre, at personoplysninger opbevares sikkert hos databehandlere. Private it-leverandører bliver databehandlere, når der skal udvikle løsninger til myndigheder.
Statsrevisorerne udtaler:
”Det er kritisabelt, at de offentlige myndigheder ikke sikrer borgernes persondata godt nok, når de outsourcer opbevaring af data til eksterne leverandører. Styringen af de eksterne databehandlere skal styrkes, så borgernes personfølsomme og fortrolige data sikres som forudsat i lovgivningen”
For sen vejledning fra datatilsynet
Rigsrevisionen har undersøgt 148 statslige it-systemer samt it-systemer i Region Midtjylland. Undersøgelsen omfatter ikke kommunale systemer.
Beretningen rejser kritik af Datatilsynet på en række punkter. Blandt andet at vejledningerne til myndighederne har været mangelfuld, noget kommunerne via KL også har påpeget.
Datatilsynets direktør Cristina Angela Gulisano erkender, at det ikke har været godt nok.
– Det er et vigtigt område, Rigsrevisionen her kaster sig over. Datatilsynet har haft øget fokus på databehandlere siden 2016, og undersøgelsen ligger således i forlængelse af dette fokus. Men den viser desværre også et behov for, at både vi og myndighederne arbejder meget mere med området, siger Datatilsynets direktør Cristina Angela Gulisano.
En væsentlig del af Rigsrevisionens kritik består i, at antallet af vejledninger, der var offentliggjort 25. maj 2018, da databeskyttelsesforordningen fik virkning i Danmark, var for lavt. Der er udkommet flere vejledninger efter denne dato, og Rigsrevisionen finder det uhensigtsmæssigt, at de ikke lå klar tidligere.
– Vi har udgivet en lang række vejledninger gennem de seneste år, og vi har flere på vej. Vejledningsindsatsen er en løbende opgave, som skal tage højde for udviklingen i samfundet. Vi hæfter os derfor mindre ved datoen 25. maj 2018 og mere ved, at vi til stadighed får fortolket og formidlet relevante regler. Lige nu har vi særligt fokus på at gøre vejledningerne mere konkrete og målrettede, siger Cristina Angela Gulisano og tilføjer:
– Vi forsøger dog også at tænke vejledningsindsatsen bredere. Ud over vores løbende og meget omfangsrige telefoniske vejledning har vi brugt en del kræfter på faglige oplæg på konferencer, udgivelse af podcast om databeskyttelsesretlige emner. tkn@kl.dk