15. august 2018

Datatilsynets kommende tilsyn hos kommunerne

Ved Datatilsynets kommende tilsyn vil der være tre temaer, som især har relevans for kommunerne.

Tre temaer for tilsyn

Når Datatilsynet indtil udgangen af 2018 fører tilsyn med, at reglerne om databeskyttelse bliver overholdt hos kommunerne, vil der være fokus på særligt tre tilsynstemaer, som har relevans for kommunerne:

  1. Anvendelse af databehandleraftaler hos kommunerne
  2. Udpegning af databeskyttelsesrådgiver
  3. Udarbejdelse af fortegnelser hos kommunen

Anvendelse af databehandleraftaler hos kommunerne

Det er vigtigt for persondatasikkerheden, at der bliver indgået de fornødne databehandleraftaler. Endvidere er det vigtigt, at den dataansvarlige påser, at databehandleren rent faktisk lever op til det aftalte.

Datatilsynet har oplyst KL, at tilsynet er opmærksom på, at kommunerne i vidt omfang vil tage udgangspunkt i KL og KOMBIT's skabelon. Datatilsynet vil derfor ikke i forbindelse med det kommende tilsyn stille krav om, at kommunerne har brugt tilsynets skabelon.

Datatilsynet har endvidere oplyst over for KL, at man i forbindelse med tilsynet vil se på, om kommunerne har forholdt sig konkret til risikovurdering og passende foranstaltninger, da disse elementer ikke kan indsættes direkte i nogen af skabelonerne. Det vil være konkret fra kommune til kommune og fra it-system til it-system (som personoplysningerne hos databehandlerne behandles i). Datatilsynet har ligeledes oplyst, at de vil se på, hvordan kommunerne konkret vil påse sikkerheden hos databehandlerne.

Du kan læse mere om KL og KOMBIT's databehandleraftaleskabelon her.

Udpegning af databeskyttelsesrådgiver

Databeskyttelsesforordningen stiller krav om, at kommunerne skal udpege en databeskyttelsesrådgiver. KL er bekendt med, at Datatilsynet har sendt en høring til samtlige kommuner om at udfylde et skema om dataansvarlige for "underliggende myndigheder og organer". Datatilsynet har over for KL tilkendegivet, at høringen ikke skal forstås sådan, at Datatilsynet anser kommunen for at være dataansvarlig for alle "underliggende myndigheder og organer".  

Du kan læse mere om databeskyttelsesrådgiverfunktionen her.

Udarbejdelse af fortegnelser hos kommunen

Forordningen stiller krav om, at alle dataansvarlige og databehandlere fører interne fortegnelser over deres behandling af personoplysninger. Fortegnelseskravet er i vidt omfang udtryk for, at den dataansvarlige og databehandleren skal dokumentere de overvejelser, som de skal gøre sig i medfør af forordningens øvrige regler.

Datatilsynet har over for KL oplyst, at man i forbindelse med tilsynet vil være opmærksom på, at kommunerne har taget udgangspunkt i KL's standardfortegnelser. Datatilsynet er opmærksom på, at der er udeståender i forhold til udformningen af standardfortegnelserne (de grå felter i KL's standardfortegnelser).

Datatilsynet har oplyst, at hvis der er "huller" i udfyldningen, vil Datatilsynet spørge kommunerne hertil, og hvis udfyldningen skyldes, at spørgsmålet fortsat er under afklaring med Justitsministeriet (de grå felter), vil dette ikke give anledning til kritik.

Du kan læse mere om fortegnelseskravet og KL's standardfortegnelser her.