Det viser en stikprøveundersøgelse, som Version2 har foretaget, og som afslører en række lovbrud i kommunerne i deres forhold til jobcentrenes eksterne leverandører i beskæftigelsesindsatsen.
Glostrup og Brøndby Kommune, har ikke indgået lovpligtige databehandleraftaler og foretaget revision af it-sikkerheden hos alle deres eksterne leverandører til jobcentrene.
Dermed kan kommunerne ikke vide sig sikre på, om borgernes oplysninger bliver opbevaret og behandlet sikkert hos leverandørerne.
IT-sikkerhedsstafetten
Flere tilfælde af hackerangreb på offentlige kernesystemer og Rigsrevisionens meget kritiske rapport i efteråret 2013 bør afføde en vigtig debat om IT-sikkerhed i Danmark.
Den totale digitalisering af al kommunikation mellem borgere, erhverv og offentlige instanser medfører mange udfordringer. Dem søger IT-stafetten på DenOffentlige.dk at adressere.
Læs alle indlæggene i IT-sikkerhedsstafetten her.
- Det er et essentielt krav, at man som offentlig myndighed skal have styr på sine databehandlere, ellers mister man kontrollen af sine data, og det kan man ikke have - især ikke i det offentlige, siger it-advokat hos Bird & Bird Nis Peter Dall til Version2.
- Det er alarmerende, når det roder så meget på det kommunale område. Vi skal som borgere have tillid til, at vores personlige oplysninger bliver håndteret på en god og ansvarlig måde, og det synes jeg ikke, det her vidner om, siger SF’s retsordfører Karina Lorentzen.
Leverandørerne hjælper jobcentrene med specialiserede forløb til borgere i aktivering og har derfor i nogle tilfælde adgang til oplysninger om borgerne som eksempelvis sygdomme og sociale problemer.
Databehandleraftalerne skal sammen med it-revisionen være med til at sikre, at leverandørerne har truffet de nødvendige sikkerhedsforanstaltninger for at forhindre misbrug af borgernes oplysninger. Men det er ikke altid, at kommunerne gør brug af de lovpligtige tiltag.
- Vi har brugt databehandleraftaler tidligere, men gør det ikke længere. Med størrelsen på vores jobcenter overstiger administrationen gevinsten ved at bruge dem, siger jobcenterchef i Brøndby, Bjarne Bo Larsen, og forklarer, at da jobcenteret skiftede en række leverandører ud, troede man ikke længere, at det var nødvendigt at have databehandleraftaler for de resterende leverandører.
- Vi har enkelte meget individuelt orienterede indsatsforløb, så jeg tør slet ikke tænke på, hvad det ville kræve af ressourcer at lave databehandleraftaler med alle leverandørerne, siger han.
Fire af de i alt seks adspurgte kommuner, som Version2 har undersøgt, forsømmer desuden deres pligt til at indberette alle deres databehandlere til Datatilsynet.
Det gælder Høje Taastrup, Glostrup, Brøndby og Københavns Kommune, men da der kun er tale om en stikprøve, kan der være tale om langt flere kommuner, som ikke overholder kravene i persondataloven.
- Det er en overtrædelse af persondataloven. De vil sandsynligvis få en påtale og blive bedt om at få det bragt i orden ganske snart, siger Nis Peter Dall og påpeger, at kommunerne skal indberette databehandlerne, så Datatilsynet har mulighed for at komme med bemærkninger.
- Man kan kun opfordre Datatilsynet til at have opmærksomhed på det her, siger Karina Lorentzen, der vil bede beskæftigelsesministeren om at redegøre for, om der er behov for en nærmere undersøgelse af kommunerne.
- Jeg er godt klar over, at det er at stikke hånden ned i en hvepserede og åbne pandoras æske, for der vil nok vælte mange skeletter ud af skabet. Men det er den bedste forudsætning for at lave præcise tiltag, siger Karina Lorentzen.
Både Glostrup og Københavns Kommune har efter Version2’s afsløringer meldt tilbage, at man fremover vil melde databehandlerne til Datatilsynet. Glostrup Kommune oplyser desuden, at den vil lave databehandleraftaler med leverandørerne og føre fast tilsyn med dem i fremtiden.
Brøndby og Høje Taastrup Kommune, der mangler at indberette nogle af dens databehandlerne til Datatilsynet, oplyser begge, at de ikke var klar over kravene på forhånd. De vil også rette aftalerne, hvis de viser sig ikke at leve op til kravene.
Datatilsynet vil ikke kommentere på de konkrete kommuners brud på persondataloven og oplyser, at den ikke var bekendt med de manglende indberetninger fra kommunerne.
- Det er jeg ikke klar over på stående fod, men det ville ikke undre mig, hvis der var nogen, der havde glemt at indberette nogle databehandlere, siger kontorchef hos Datatilsynet, Lena Andersen og fortæller, at de pågældende kommuner vil kunne forvente en løftet pegefinger fra Datatilsynet.
Datatilsynet er i øjeblikket ved at foretage stikprøver af datasikkerheden blandt borgerservicecentrene, men har ifølge Lena Andersen endnu ikke planlagt nogen kontrol af jobcentrene på beskæftigelsesområdet.
Læs hele artiklen her: http://www.version2.dk/artikel/kommuner-bryder-loven-intet-tilsyn-med-bo...