KØBENHAVN: I en tilsynssag om behandlingssikkerheden i Aula over for seks udvalgte kommuner i efteråret 2021 har Datatilsynet nu truffet afgørelse i den sjette og sidste sag mod Københavns Kommune, oplyser Datatilsynet.
Ligesom de fem øvrige kommuner omtalt i januar, Randers, Hillerød, Lolland, Esbjerg og Frederikshavn, så får også København kritik. Tilsynene i alle kommuner fokuserede på overholdelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.
Datatilsynet har nu i den sidste sag vurderet, at Københavns konsekvensanalyse ikke opfylder alle mindstekravene til en sådan. Derudover indeholder afgørelsen nogle anbefalinger til kommunens videre arbejde med netop en planlagt opdatering af konsekvensanalysen.
I forhold til Københavns risikovurdering fandt Datatilsynet, at kommunen ikke til fulde havde implementeret passende foranstaltninger til at nedbringe de risici, den havde identificeret. Kommunen har særligt fokuseret på at reducere den risiko, som brugen af en login efter kommunens vurdering indebærer.
Flere spørgsmål
Tilsynssagen med Københavns Kommune indeholder flere elementer end sagerne fra de fem øvrige kommuner. Og efter presseomtale i foråret 2023 af en intern tilsynsrapport har Datatilsynet bedt Københavns Kommune om svar på yderligere spørgsmål. Tilsynsrapporten fra kommunens databeskyttelsesrådgiver vedrørte bl.a. kommunens brug af Aulas modul "Sikker fildeling".
På den baggrund anbefaler Datatilsynet, at København i sin konsekvensanalyse - evt. i dialog med de øvrige kritiserede kommuner, Kombit og KL - præciserer formålet med behandlingen af personoplysninger i Aula.
Tilsynet bemærker, at det er relevant at præcisere, hvilke dokumenttyper "Sikker fildeling" anvendes til, og hvilke typer personoplysninger disse typisk indeholder.
Erfaringsdeling
På et kontaktudvalgsmøde med kommunerne og regionerne i maj i år delte Esbjerg Kommune ud af sine erfaringer med risikovurdering og konskvensanalyser i forhold til behandlingen af personoplysninger.
Esbjerg fremhævede bl.a. vigtigheden af overblik gennem gode fortegnelser samt integreringen af teknologi, proces med fx arbejdsgange og personale for at identificere og reducere risici, når et nyt system tages i brug.
Kommunen påpegede også, at indsigt i medarbejdernes arbejdsgange og deres praktiske brug af it-redskaber gør det nemmere at lave risikovurderinger, også generelt ved fremtidige beslutninger om indkøb og implementering af nye systemer og it-løsninger.
Fælles skabeloner
Datatilsynet opfordrede allerede ved afgørelserne for de fem første kommuner i januar til, at kommunerne evt. i samarbejde med KL og Kombit overvejede at lave en fælles konskvensanalyse i forhold til kommunernes behandling af personoplysninger i Aula.
Og på kontaktudvalgsmødet i foråret kom Kombit med sine overvejelser om en mulig fælles konsekvensanalyse, der blev drøftet sammen med forslag og bemærkninger fra kommunerne.
En såkaldt compliancepakke fra Kombit blev også præsenteret, og den indeholder en række skabeloner, der er designet til at hjælpe kommunerne med databeskyttelse. Kombit arbejder på at gøre skabelonerne tilgængelige for de relevante medarbejdere i kommunerne.
Også Datatilsynet præsenterede på mødet en skabelon til gennemførelse af konsekvensanalyser for AI-løsninger, og den er sammen med en efterfølgende skabelon af mere generisk karakter offentliggjort på tilsynets hjemmeside her.
Se Datatilsynets afgørelse for København her.
cwa
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb.
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.
