Annonce
Esbjerg

Rådgiver: Esbjerg Kommune skal beskytte borgernes personlige oplysninger bedre

Esbjerg Rådhus er stort set åbent for borgere og andre gæster, men det stiller store krav til, at medarbejderne vogter over personoplysninger. Arkivfoto: Jacob Schultz
En åben kommune, hvor borgerne ikke mødes af et hav af låste døre på deres vej gennem rådhuset, kræver særlig agtpågivenhed i forhold til beskyttelse af personoplysninger, understreger kommunens databeskyttelses-rådgiver, der netop har afleveret sin årsrapport. I alt var der 95 tilfælde af brud på datasikkerheden i 2020.
Annonce

Esbjerg Kommune: Et åbent rådhus, hvor borgerne forholdsvis frit kan gå ind og møde kommunen i øjenhøjde uden massive sikkerhedsforanstaltninger.

Sådan har det været i årevis i Esbjerg Kommune, og sådan skal det være fremover, siger borgmester Jesper Frost Rasmussen (V), men det stiller store krav til beskyttelse af de personoplysninger, som en kommune ligger inde med.

Det betyder dog - i henhold til databeskyttelses-rådgiverens årsrapport for 2020, som økonomiudvalget har fået forelagt - at kommunens medarbejdere i nogle tilfælde skal stramme op på sikkerheden. I rapporten findes også en opgørelse over de brud på datasikkerheden, der har fundet sted i det forløbne år, ligesom der er oplistet en række andre opmærksomheds-punkter, som kommunen bør iagttage fremadrettet.

I forhold til åbenheden på Esbjerg Kommune har databeskyttelses-rådgiveren i løbet af 2020 vandret lidt rundt for at se nærmere på forholdene. Selv om der ved indgangen til rådhuset er placeret en rådhusvagt, som sørger for at dirigere borgere og andre gæster til Borgerservice eller 1. eller 2. sal,  er der ingen krav om indskrivning af gæster eller andet, der dokumenterer folks ærinde. Når der først er givet adgang, kan borgeren bevæge sig rundt på det meste af rådhuset samt nå frem til afdelingen Digitalisering & IT.

Annonce

Ingen bevogtning

"...Det stiller krav til, at fysiske personoplysninger låses forsvarligt inde, når de ikke er i brug eller under opsyn. Observationerne fortæller om tomme afdelinger i frokostpauser, større møder og lignende, hvor der er sagsmapper og dokumenter med persondata, der ikke er beskyttet tilstrækkeligt. Derudover er det værd at bemærke, at ved et åbent rådhus stiller det store krav til medarbejderne om ikke at tale om personoplysninger i de offentligt tilgængeligt dele af lokationerne", skriver databeskyttelses-rådgiveren blandt andet.

I december 2020 har Datatilsynet i øvrigt i ét tilfælde udtalt alvorlig kritik af Esbjerg Kommune. Det er sket i forbindelse med en sag, der fandt sted i begyndelsen af året, hvor en forælder, der ikke var indehaver af forældremyndigheden til et bestemt barn, fik adgang til en anden borgers oplysninger via AULA (kommunikationsplatformen til folkeskoler, SFO'er og dagtilbud, red.). Datatilsynet konkluderer, at det er kommunens ansvar at sikre, at borgere, der ikke har forældremyndigheden, ikke får en utilsigtet adgang til oplysninger i AULA.

Annonce

Stigning

I 2020 er der indberettet 95 brud på persondatasikkerheden, hvilket er en stigning på 39 procent i forhold til året før, hvor der blev indberettet 68 brud.

Databeskyttelses-rådgiveren mener, at årsagen til stigningen formentlig skal findes i, at området for alvor er overgået til drift, og at der derfor er større opmærksomhed og forståelse i den kommunale organisation. Det medfører også flere indberetninger af brud.

En mulig årsag - hvis der er flere brud, og medarbejderne ikke bare er blevet bedre til at indberette dem - kan være den pludseligt øgede mængde af hjemmearbejde på grund af nedlukning i forbindelse med corona-pandemien.

Annonce

Øget opmærksomhed

Det er dog værd at lægge mærke til, at Sundhed & Omsorg ikke havde en eneste indberetning i 2019, og i 2020 udgør indberetninger fra Sundhed & Omsorg 15 procent, hvilket tyder på, at kendskabet og opmærksomheden på brud på persondatasikkerheden er blevet større.

Cirka halvdelen af samtlige indberettede og anmeldte brud i Esbjerg Kommune sker i Borger & Arbejdsmarked, og det skal databeskyttelses-rådgiveren nu sammen med direktøren for området undersøge nærmere.

Ifølge borgmester Jesper Frost Rasmussen (V) konkluderer databeskyttelses-rådgiveren, at der er kommet en langt større forståelse for, at reglerne ikke kun er til for at opfyldes, men for at sikre borgerne den nødvendige beskyttelse, når kommunen behandler personoplysninger om borgerne.

- Det er heldigvis gået fremad i 2020 i forhold til året før i takt med, at forståelsen og kendskabet til data-sikkerheden er øget, og efter årsrapporten for 2019 har vi i 2020 implementeret langt hovedparten af de anbefalinger, vi fik. Nu skal den tvær-sektorielle gruppe i gang med at se på de anbefalinger, der er kommet i den nye rapport, og have dem gennemgået en for en, siger han.

Brud på sikkerheden

Otte ud af 10 brud på persondatasikkerheden i Esbjerg Kommune skyldes menneskelige fejl.

De fleste indberettede brud på persondatasikkerheden falder indenfor følgende kategorier:

1. Korrekte oplysninger sendt til forkert modtager internt - eksempelvis forkerte initialer angivet ved afsendelse af e-mail.

2. Korrekte oplysninger sendt til forkert modtager eksternt - eksempelvis forkert cpr-nummer ved digital post.

3. Korrekte oplysninger sendt usikkert, hvorved kommunikationen kan opsnappes af uvedkommende - medarbejder glemmer at klikke på ”Send Sikkert” eller er ikke opmærksom på retningslinjerne for
sikker digital kommunikation.

4. Tilgængeliggørelse af persondata for uvedkommende - persondata delt med forkerte medarbejdere til møde, persondata gengivet i dagsordener og referater.

5. Fejljournalisering af persondata - medarbejder journaliserer notat om en borger på forkert borgers
sag.

6. Øvrige - leverandørbrud, brud på tavshedspligt, uberettiget videregivelse af persondata.

Databeskyttelsesforordningen fastsætter krav om anmeldelse af brud på persondatasikkerheden til Datatilsynet og eventuel underretning til den eller de berørte personer. Det betyder, at Esbjerg Kommune som dataansvarlig i tilfælde af brud på persondatasikkerheden skal anmelde bruddet til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter, at kommunen er blevet bekendt med bruddet.

Annonce
Annonce
Annonce
Annonce
Esbjerg

Udvalg vrager planer for 180 meter høje møller i Tjæreborg Enge: Byråd skal dog træffe den endelige beslutning

Annonce