Viborg Kommune manglede i 2018 at indgå fem ud af 130 databehandleraftaler. Datatilsynet har endvidere ved en stikprøve konstateret, at der i tre tilfælde ikke er sket tilstrækkelig kontrol med, at kontrollen med databehandleraftaler er udført. Derfor har Datatilsynet valgt at udtale alvorlig kritik af Viborg Kommune og meddelt Kommunen et påbud om at indgå databehandleraftaler med de fem leverandører senest den 30. september 2019.
"Vi er naturligvis kede af, at vi ikke har nået at få alle databehandleraftalerne i hus på fyldestgørende vis, efter EU's persondataforordning (GDPR) trådte i kraft i 2018. Vi har allerede, inden Datatilsynets afgørelse, indgået databehandleraftaler med tre leverandører. Den ene af de to resterende aftaler er en offentlig myndighed, som stopper som databehandler på vegne af Viborg Kommune, og den anden behandler er Viborg Kommune selv, hvorfor en databehandleraftale ikke er nødvendig," siger økonomi- og personaledirektør, Klaus Christiansen, og fortsætter:
"Det er naturligvis en ærgerlig sag, men samtidig er det vigtigt for mig at understrege, at ingen borgere i Viborg Kommune har været udsat for, at deres data er kommet i de forkerte hænder i den konkrete sag."
Datatilsynet medgiver i sin afgørelse, at de fem manglende aftaler kun udgør en lille del af Kommunens samlede antal databehandleraftaler.
Borgernære sikkerhedsopgaver først
Klaus Christiansen glæder sig over, at det med Datatilsynets afgørelse er blevet mere tydeligt, hvad der lægges vægt på, når det gælder kommunernes aftaler med leverandører af databehandling.
"Vi har bevidst prioriteret de borgernære sikkerhedsopgaver først og dernæst indgået mere end 180 databehandleraftaler med vores leverandører. Det har været en endog meget stor opgave, som har krævet mere, end vi havde forudset," siger Klaus Christiansen.
I Viborg Kommune har man desuden straks efter Datatilsynets besøg sidste år fremskyndet en række initiativer på området, blandt andet systematisk opfølgning på kontrollen af databehandlernes revisionsrapporter.
"Viborg Kommune tager spørgsmålet om sikkerhed hos kommunens databehandlere meget alvorligt. På baggrund af Datatilsynets besøg er vi blevet endnu mere bevidste om, at vi skal være mere kritiske i forhold til vores leverandører, de krav vi stiller til dem og tilsynet med dem," slutter han.
Om databehandleraftaler
Offentlige og private virksomheder, der er dataansvarlige, skal indgå skriftlige aftaler med virksomheder, som behandler personoplysninger på den dataansvarliges vegne. Virksomhederne er primært it-virksomheder. Den skriftlige aftale kaldes en databehandleraftale, og den regulerer, hvordan databehandleren må behandle oplysninger på den dataansvarliges vegne og til hvilke formål.