Efter Datatilsynets nye vejledning: Kommunerne kæmper fortsat med databehandleraftaler

kontrakt, underskrift
Illustration: Mihailo K | Bigstock. Se større version
Det er en stor udfordring for kommunerne at finde ud af, hvornår man skal have en databehandleraftale med en privat leverandør, og derfor er Datatilsynet udkommet med en ny vejledning. Men det offentlige kæmper fortsat med GDPR-arbejdet, fortæller chefkonsulent fra KL.
30. november 2021 kl. 05:00
errorÆldre end 30 dage

Hvornår er der behov for, at man finder pen og papir frem og laver en databehandleraftale?

Det spørgsmål har mange kommuner kløet sig i håret over, siden databeskyttelsesforordningen fandt anvendelse for lidt over tre år siden, og blandt andet derfor har Datatilsynet lavet en ny vejledning på området.

Den beskriver rollefordelingen af dataansvarlig, databehandler og tredjepart, når det private leverer ydelser til det offentlige, og så indeholder den konkrete eksempler på nogle situationer, hvor det kan være svært at afgøre, om man skal have en databehandleraftale eller ej.

Derfor er guiden et godt skridt på vejen, fortæller Pernille Jørgensen, chefkonsulent i Digitalisering og Teknologi hos Kommunernes Landsforening (KL).

Men selvom organisationen – på vegne af kommunerne – har været ude og efterspørge præcis sådan en vejledning, er det stadig svært for kommunerne at afgøre, hvornår et samarbejde kræver en databehandleraftale. 

Derudover er nogle af eksemplerne med til at skærpe kommunernes arbejdsmæssige GDPR-byrde, der i forvejen er stor, ifølge chefkonsulenten.

Nye eksempler i vejledningen

Den nye vejledning er et supplement til en ældre guide om databehandlere og dataansvarlige, tilsynet offentliggjorde i 2017, og der er trang til fornyelse, mener Pernille Jørgensen:

Pernille Jørgensen
Pernille Jørgensen, chefkonsulent i Kommunernes Landsforening. Illustration: Pernille Jørgensen. Se større version

»Vi er rigtig glade for, at Datatilsynet nu er gået i gang med at arbejde på en vejledning, der er endnu mere ‘hands on’, til brugerne,« siger hun og uddyber:

»De prøver med helt konkrete eksempler at give noget vejledning, og det synes vi er godt. Det er noget af det, vi selv har efterlyst.«

Datatilsynet har under arbejdet med at få skrevet vejledningen inviteret interessenter, herunder KL, til at indsende konkrete eksempler med udfordringer på området. Ifølge chefkonsulenten er syv af organisationens indsendte forslag kommet med i den nye guide, der i alt har elleve eksempler.

Det er positivt, mener Pernille Jørgensen, for kommunerne har et stort behov for Datatilsynets betragtninger. Selv med den nye vejledning kan det være svært at afgøre, hvornår der er behov for en databehandleraftale, påpeger hun og henviser til guidens eksempel 7.

Detaljer kan afgøre rollefordeling

Eksemplet handler om et fælleskommunalt projekt – ledet af KL – hvor der skal laves en analyse af en ny it-løsning. Organisationen hyrer et konsulentfirma til at udfører arbejdet, der blandt andet omfatter interviews af kommunernes medarbejdere.

KL videregiver medarbejdernes kontaktoplysninger til konsulentfirmaet, men siger ikke noget om, hvordan arbejdet specifikt skal udføres – og dét er helt afgørende i forhold til, om der skal indgås en databehandleraftale eller ej:

»Selvom KL beslutter, hvad analysen skal handle om, og hvilke medarbejdere der skal inddrages, vil det være konsulentfirmaet som efter egen metodik fastlægger, hvordan personoplysninger behandles med henblik på at udarbejde den endelige analyse. Konsulentfirmaet vil i det tilfælde være selvstændig dataansvarlig,« skriver Datatilsynet i den nye vejledning.

Men hvis KL instruerer konsulentfirmaet i, hvad der eksempelvis skal spørges om under interviewet, og hvilke oplysninger der skal indsamles til rapporten, bliver leverandøren pludselig databehandler. Og så skal parterne indgå en databehandleraftale, ifølge Datatilsynet.

»Her skal man foretage en vurdering af, om man alene har ‘besluttet hvad en analyse skal handle om’ eller om man via en konkretisering af for eksempel en spørgeramme er blevet så konkret, at man kan siges at instruere leverandøren og dermed indtræder i en databehandlerkonstruktion. Det kan være detaljer, der afgør, om man lander på det ene eller det andet resultat,« siger Pernille Jørgensen om eksemplet.

SMV’er er også i tvivl

Det viser noget om, hvor svært det kan være for kommunerne at finde den rette balance, uddyber chefkonsulenten, og man vil kun indgå en databehandleraftale, hvis det er højst nødvendigt. Det koster nemlig mange penge og tager mange arbejdstimer.

»Man skal kun indgå en databehandleraftale, når det er nødvendigt, for der følger rigtig mange administrative processer med. Både at få den indgået og blive enige om, hvad der skal stå i den, og også den opfølgning og den kontrol af databehandleraftalen, som der også er et krav om,« fortæller hun.

Det er dog ikke kun kommunerne, der lider under udfordringerne. Det er langt fra alle private virksomheder, der har de juridiske ressourcer til at vurdere, om et nyt samarbejde kræver en databehandleraftale:

»Kommunerne kan komme i tvivl, hvilket er forståeligt, men de er ret gode til det, oplever jeg. Men det, Datatilsynet også i høj grad prøver at adressere her, er, at der også er rigtig mange SMV’er, som skal gå ind i de her forhandlinger med kommunerne, hvor det er død svært at finde ud af rollefordelingen,« siger chefkonsulenten.

Hun uddyber, at der er rigtig mange eksempler på leverandører, der pludselig er blevet »dødbange« for, om man skal have en databehandleraftale med en kommune, fordi man eksempelvis får navne- og adresseoplysninger på borgere, der skal have leveret køkkenruller eller bleer.

»Der været store diskussioner, om der skulle laves databehandleraftaler på sådan noget. Det bliver mere og mere klart. Vi arbejder os hen imod en fælles forståelse af, at så længe den ydelse, der bliver leveret, handler om noget andet end personoplysninger, så skal vi ikke have en databehandleraftale,« siger hun.

Skærpede krav i den nye vejledning

Men den fælles forståelse kan også udfordres af vejledningen. I eksempel 11 er der nemlig kommet en skærpelse af kravene til kommunerne, mener chefkonsulenten.

Det er en fornyelse af et eksempel 1 i vejledningen fra 2017, der omhandler en kopimaskinereparatør. Her står der, at man kan bede reparatøren om at underskrive en fortrolighedserklæring, hvis der er en risiko for, han under sin reparation støder på nogle personoplysninger.

Men ifølge det nye eksempel 11, skal kommunen vurdere, om det er ‘forventeligt’, om leverandøren kommer til at tilgå personoplysninger eller ej.

I stedet for en kopimaskinereparatør, handler eksempel 11 om en supportmedarbejder. En kommune køber et softwareprodukt af en virksomhed kaldet Techx, der skal yde it-support. Virksomheden hverken drifter eller hoster systemet.

Der er ingen systematisk adgang til kommunens personoplysninger, men i særlige tilfælde kan support-medarbejderen være nødt til at tilgå filer, der indeholder persondata på borgere.

»Selvom de behandlede filer kun i særlige tilfælde indeholder personoplysningerne, er forekomsten ikke tilfældig. Da det således er forventeligt (og uundgåeligt), at TechX vil behandle personoplysninger på vegne af kommunen, må TechX anses for databehandler for kommunen, da det ikke er afgørende, hvor ofte der vil forekomme personoplysninger,« skriver Datatilsynet i vejledningen.

Men hvis det er rent tilfældigt, at supportmedarbejderen støder på filer med personoplysninger, er Techx bare en tredjepart, og kommunen behøver ikke indgå en databehandleraftale. Man skal i stedet eksempelvis bede supporteren underskrive en fortrolighedserklæring.

»Det, eksemplet kommer til at gå på, er, om forekomsten af de oplysninger, man som supporter støder på, er tilfældig eller ej – om det er forventeligt og uundgåeligt eller ej,« siger Pernille Jørgensen.

»Det er super svært at navigere i. Det er ikke særlig let for almindelige mennesker at vide.« 

Uenig med Datatilsynet

Der er dog udsigt til mere hjælp, for ifølge chefkonsulenten planlægger Datatilsynet at lave en revision af hele vejledningen fra 2017.

Hun er glad for tilsynets indsats på området, selvom man ikke altid er enige, påpeger hun. Men så vil KL gå i dialog med myndigheden:

»Lige nu er det ikke, fordi der er så mange ting, der bliver ændret. Vi skal dog have en snak med Datatilsynet om eksempel 10 om de selvejende institutioner, hvor vi ikke er enige med Datatilsynet i, at kommunerne skal være databehandlere for institutionerne.«

KL vil løbende holde øje med Datatilsynets arbejde på området, og hvis kommunerne fortsat har udfordringer, må der mere vejledning til.

»Nu ser vi det an, og vi håber, vi får de afklaringer, der er nødvendige, men ellers vil vi jo opfordre til, at man kigger på det igen,« understreger Pernille Jørgensen.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i den videnskabelige debat.