86 kommuner bryder persondataloven
Næsten alle danske kommuner sender borgernes personhenførbare oplysninger videre til tredjeparts-virksomheder uden at ane, hvad virksomhederne gør med oplysningerne efterfølgende, skriver avisen Kommunen.
Det viser aktindsigter i de databehandleraftaler, som kommunerne burde have indgået med it-giganten Google eller virksomheden Siteimprove, som kommunerne giver personhenførbare oplysninger til, når borgerne besøger deres hjemmesider.
Kun København, Bornholm og Brøndby har indgået databehandleraftaler, viser aktindsigterne, mens 86 kommuner bryder persondataloven, fastslår Datatilsynet, der beskriver omfanget som 'bekymrende'. Efter avisen Kommunens anmodning om aktindsigt har mange kommuner dog valgt at indgå aftaler.
Netop manglende databehandleraftaler har ellers været et fokuspunkt for 16 kommuner og KL, der alle fik et tilsynsbesøg af Datatilsynet i 2016 og 2017. Efter alle tilsyn har Datatilsynet kritiseret eller fundet det beklageligt, at kommunerne og KL ikke havde sørget for at indgå databehandleraftaler med diverse leverandører.
Kommunerne betaler med data
Avisen Kommunen har besøgt alle kommunernes hjemmesider for at kortlægge, hvilke webstatistik-databehandlere hver enkelt kommune selv vælger at sende borgernes data til.
48 kommuner bruger Google Analytics. Ingen af dem har gyldige databehandlingsaftaler. 66 kommuner har valgt at sende oplysninger videre til Siteimprove, og heraf har kun 3 indgået aftaler. 27 kommuner har endda valgt at sende oplysningerne videre til begge tjenester, viser Kommunens aktindsigter.
Oplysningerne omfatter de besøgendes ip-adresse, som ifølge en dom fra EU-domstolen fra efteråret 2016 er en personoplysning.
- Google Analytics er et gratis produkt målt på kroner og øre, men Google er jo ikke en filantropisk virksomhed, og det gør jo, at de må have en anden indtjening på produktet. Indtjeningen for Google består i modtagelsen af oplysninger om de besøgende, forklarer Jesper Lund, som er formand i IT Politisk Forening.
Tilsyn: Persondataloven overholdes ikke
Fra Datatilsynets side er reaktionen på de manglende aftaler helt utvetydig: det er ulovligt, hvis der er tale om en databehandlerkonstruktion, hvor kommunerne er dataansvarlige.
Hvorfor er det nødvendigt, at kommunerne har underskrevet databehandleraftaler med leverandører af webstatistik?
- Det er nødvendigt, fordi det står i loven, at de skal have det. Formålet med det er selvfølgelig at give databehandleren en ordentlig instruks, så firmaet ikke gør noget med borgernes oplysninger, som kommunerne ikke har bedt databehandleren om, forklarer Jesper Husmer Vang kontorchef i Datatilsynet.
Hvis kommunerne ikke har en databehandleraftale med analyse-leverandøren, så bryder kommunerne loven?
- Ja, det gør de, fastslår han.
Mange forklaringer
For mange kommuner lyder forklaringen på de manglende aftaler, at de simpelthen ikke var opmærksomme på, at en databehandleraftale var påkrævet.
Hos andre kommuner er puklen med manglende databehandleraftaler stor, og aftalerne med webstatistik-firmaer er placeret langt nede i bunken.
Efter avisen Kommunens anmodning om aktindsigt fra den 10. august har mange kommuner dog efterfølgende valgt at underskrive databehandleraftaler.
Læs hele artiklen hos Kommunen.
Rettelse af 4. september: I denne artikel kaldte vi i første omgang de oplysninger, som kommunerne ulovligt videresender til fx Google, for personfølsomme. Det rigtige ord er personhenførbare, hvilket vi nu har rettet til. I første udgave skrev vi også, at kun Bornholm og København havde aftaler, da vi bad om aktindsigt. Det havde Brøndby imidlertid også, men vi fejllæste datoen i aktindsigten. Så det er ikke 87, men 86 kommuner, der manglede en aftale.
Rettelse
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb.
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.