Databehandlersekretariatet (DBS) i Viborg er kommet flot fra land. Kontoret blev åbnet i august 2022 og skal føre tilsyn med databehandleraftalerne, som kommunerne indgår med leverandørerne.
“Det er en fornøjelse, at kommunerne synes, det giver værdi. Det næste er, at de leverandører, vi støder ind i, ligeledes giver udtryk for, at det også skaber værdi for dem,” siger bestyrelsesformand Erik Sørensen, DBS, som er tidligere IT- og digitaliseringschef i Viborg Kommune.
Da DBS blev etableret som forening i 2022, var der 61 kommuner, som meldte sig ind. Nu er der 63 medlemmer. Senest har Struer og Langelands kommuner meldt sig under fanerne i DBS. Sekretariatet har nu fem ansatte.
Sekretariatschef Henrik Houmøller Sprøgel, DBS: “Vi har oplevet stor interesse fra en række kommuner. Først og fremmest fra medlemmerne, men vi oplever også interesse fra kommuner, der ikke har meldt sig ind fra starten af. Det positive er, at sekretariatet allerede nu er nået langt.”
De første tre måneder fra august til og med oktober 2022 er gået med etableringen af sekretaritatet. At ansætte medarbejdere, at opbygge systemer og få faktureret kommuner, så Sekretariatet kan fungere. I november, december og januar er de 30 første tilsynsrapporter blevet udarbejdet og publiceret til de 62 kommuner.
“Det er en meget spændende opgave, sekretariatet er sat til at løse på kommunernes vegne. Jeg sad i en driftsopgave i en kommune, og erfarede at tilsynet med databehandleraftaler, som er en konsekvens af GDPR-forordningen fra EU, kommer skævt ind i en driftsopgave. Derfor giver det god mening at pille databehandleraftalerne ud og løse dem fælleskommunalt i DBS. Det skaber både værdi for kommuner og leverandører. Kommunerne sparer tid til administration og leverandørerne kan få deres databehandleraftaler godkendt et sted for mange kommuner, så de undgår mange forskellige versioner af deres databehandleraftaler og at bruge tid på vedligeholdelsen af dem,” siger Henrik Sprøgel.
Databehandleraftalerne
EU´s Databeskyttelsesforordning med GDPR-reglerne har skærpet kravene til kommunernes behandling og kontrol af personoplysninger. Kommunerne skal som dataansvarlige kunne dokumentere, at de kontrollerer de leverandører, som leverer it-systemer til kommunerne, om de opfylder GDPR-reglerne i behandlingen af borgernes data. Der er både tale om beskrivelser af it-systemer og databehandleraftaler og risikovurderinger. Det er den samlede mængde af det arbejde, der er lagt ind i Databehandlersekretariatet.
Sekretariatet skal tage udgangspunkt i de systemer, som mindst 20 kommuner bruger. “Der ligger 370 databehandleraftaler i den pulje. Det er oceaner af timer, der bliver sparet i kommunerne, ved at sekretariatet gør det,” siger Erik Sørensen.
Selvom det Fælleskommunale Databehandlersekretariat løser opgaven om
databehandleraftaler, kan kommunerne ikke fraskrive sig ansvaret for aftalerne. Populært sagt kan kommunerne ikke fraskrive sig ansvaret ved at outsource tilsynsopgaven.
Kommunerne skal underskrive databehandleraftaler for hvert eneste system og hver eneste leverandør og kontrollere om leverandørerne behandler persondata efter GDPR-reglerne.
“Formålet med etableringen af Databehandlersekretariatet er, at kommunerne fremover vil gøre arbejdet i fællesskab i stedet for at gøre det hver for sig. Vi skal som dataansvarlige kigge ned i den enkelte databehandleraftale og i revisionens bemærkninger. Du bliver som dataansvarlig nødt til at være nede i databehandlingen i de systemer vi bruger. Du skal ligeledes være opmærksom på underdatabehandlere på listen. Når vi så får listerne, er der nogle af dataoverførslerne, der er landet i tredjelande uden for EU,” siger Erik Sørensen.
To opgaver
Opgaverne i DBS deler sig i to. Første del er produktionen af tilsynsrapporter, hvor DBS har lagt navn til foreløbigt 30. Det er Henrik Houmøller Sprøgel ganske godt tilfreds med. Den anden del omfatter forhandlinger med leverandørerne om indgåelse af databehandleraftaler for medlemmerne af DBS. Den opgave er DBS ikke rigtigt kommet i gang med endnu. Men den kommer til at fylde meget i indeværende år.
“Den anden opgave er at forhandle og indgå databehandleraftaler med leverandører på vegne af medlemmerne. Vi kigger ind i en portefølje af 400 it-systemer, som kommunerne hver for sig har indgået databehandleraftaler med. Vores opgave bliver at lave et gennemsyn og kontrollere, at de lever op til reglerne. Den opgave løser vi på vegne af de 63 kommuner, så de ikke selv sidder med den.”
“Men forhandlingerne med leverandørerne kan også omfatte helt nye it-systemer, så vi kan lave en fælleskommunal databehandleraftaler f.eks. for et journalsystem eller sagsbehandling Vi kan også lave fælles aftaler for it-systemer der allerede er taget i drift, men hvor der sker noget nyt. Det kan være en opgradering eller ændringer, så kan vi komme ind i billedet,” siger Henrik Houmøller Sprøgel.
Leverandørerne
DBS mødes jævnligt med nogle leverandører. Her er der, ifølge DBS, stor interesse for at samarbejde med DBS. DBS deltog før jul i et møde med KL, hvor der deltog en række leverandører, som gav udtryk for, at de gerne vil samarbejde med DBS.
Erik Sørensen: “Leverandørerne viser stor interesse for at samarbejde med os. Det kom frem på mødet, men også i de opfølgende snakke vi har haft med leverandører. Det er en klar fordel for leverandørerne at løse opgaver om databehandleraftaler i et centraliseret forum frem for at gøre det enkeltvist med kommunerne. Det er nemmere at tale med et sekretariat, der repræsenterer 63 kommuner, så skal de kun tage hen et sted. Det er klart det sparer tid. Og sparet tid er som bekendt penge for alle parter”.
FAKTA
Det nye sekretariat hedder Det fælleskommunale Databehandlersekretariat (DBS).
• Bestyrelsen for foreningen består af otte medlemmer. Erik Sørensen, Viborg Kommune, er formand for bestyrelsen.
• Sekretariatet skal føre tilsyn med de databehandleraftaler, som mere end 20 af foreningens medlemmer har indgået med leverandører og øvrige samarbejdspartnere.
• Sekretariatet kan også forhandle databehandleraftaler og lave risikovurderinger af de databehandlinger, som aftalerne omfatter.
Kontingent i 2023
Kategori 1 – 0-50.000 indbyggere 100.000 kr.
Kategori 2 – 50.000-100.000 indbyggere 130.000 kr.
Kategori 3 – 100.000-200.000 indbyggere 160.000 kr.
Kategori 4 – over 200.000 indbyggere 200.000 kr.