Orientering om Datatilsynets rapport vedr. persondatasikkerheden i Læsø Kommune.

Læsø Kommune har fået en alvorlig kritik af Datatilsynet.

Det er ikke tilfredsstilende at vi nogle områder, der ikke opfylder kravene - og der er allerede i august 2016 taget skridt til at forbedre procedurer m.v. på de områder, som Tilsynet har fundet kritisable.

Overordnet er det således, at Læsø Kommune for det første skal sikre, at kommunens medarbejdere kender reglerne og arbejder efter dem, - og for det andet skal vi føre tilsyn med at man rent faktisk også arbejder efter disse regler.

Vi arbejder generelt efter reglerne, dog bortset fra dataplaceringen på et enkelt område (børnehaven), - men kontrollen hermed har ikke været tilfredsstillende.

Datatilsynet har i 2016 gennemført et tilsyn med de danske kommuner ii forhold til persondatasikkerheden på udvalgte områder.

Tilsynet i 2016 fokuserede navnlig på:

  • Uddybende sikkerhedsregler, 
  • myndighedens eget tilsyn
  • databehandleraftaler, og
  • myndighedens kontrol med databehandlere

Datatilsynet ønskede svar fra kommunen vedr. datasikkerheden på fem områder.

Det var
1. Beskæftigelsesområdet

2. Pas og kørekort

3. Børnepasning

4. Sundhedspleje

5. Ældrepleje.

Kommunens svar indeholdt altså oplysninger, som Datatilsynet ikke var tilfreds med.

På fire af områderne drejer kritikken sig om, at Læsø Kommune ikke har sendt en medarbejder til hhv. Frederikshavn Kommune, til Rigspolitiet og til Sundhedsstyrelsen i København for at sikre, at man de tre steder rent fysisk passer godt på vores data. Det er nemlig der, der gemmes. Dels p.g.a. forpligtende samarbejde med Frederikshavn og dels fordi det er Politiet, der gennem pas og kørekortsoplsninger og Sundhedsstyrelsen, der får indberetninger fra ældreområdet.

Det er nemlig et krav, at en kommune tilser, at den såkaldte databehandler opbevarer kommunens data betryggende, og at der kun er adgang til dem af personer, der er relevante og autoriserede.

I forhold til Børnepasningen, så drejer kritikken sig om, at Børnehuset ikke anvender kommunens almindelige elektroniske dokumenthåndterings- og sagssystem og dermed arkivsystem, men gemmer oplysninger om børnene på Børnehusets egne computere og på kommunens egne servere. Denne måde at opbevare oplysninger på, giver andre medarbejdere mulighed for at se disse data, og det må de ikke kunne.

 

Kommunen har i august 2016 svaret Datatilsynet med en handleplan, der beskriver, hvornår de kritisable forhold er udbedret og kommunens persondata dermed er sikret som loven beskriver, de skal være.

Det skal nu afklares, hvorledes vi kan skærpe vore procedurer hurtigst muligt, - så der bliver tilfredsstillende styring på dette. Det er overbevisningen, at vi har et behov for endnu større tydelighed i ansvarsplaceringen samt at sikre, at der er ressourcer til rådighed for opgaven. Vi har ikke arbejdet struktureret nok med dette. Herudover skal vores instruktion og uddannelse til alt personale forbedres.