Det fælleskommunale Databehandlersekretariat (DBS) er bygget op som en selvstændig forening med egen bestyrelse og vedtægter, og som placeres fysisk i Viborg Kommune. Viborg der også var med i Partnerskabet for informationssikkerhed har tilbudt, at foreningen kan placeres dér. Fra starten opbygges sekretariatet med fem medarbejdere og DBS skal på vegne af de 61 medlemskommuner føre tilsyn og forhandling med databehandlerne – altså leverandørene.
Det har været noget af en rejse for de 43 kommuner i partnerskabet og KL før de nåede frem til, at DBS skulle bygges op som en forening. I dag kort efter den stiftende generalforsamling i marts 2022 har 61 kommuner tilmeldt sig foreningen.
Hver medlemskommune har udpeget en kontaktperson, som er kommunens kontakt til DBS. Det er stadigvæk kommunen som myndighed, der er dataansvarlig og underskriver databehandleraftalerne. Men det er DBS, som udfører det praktiske arbejde med at føre tilsyn og forhandle med leverandørerne og strukturere arbejdet med databehandleraftalerne, så hver kommune ikke sidder og udfører det samme arbejde.
“Det er DBS, der fører tilsyn med databehandlerne (leverandørerne red.), når minimum 20 medlemskommuner bruger det samme system. Den enkelte dataansvarlige (kommunen red.) har ansvaret for den endelige godkendelse af tilsynet på baggrund af DBS’ tilsynsrapport,” siger Programleder for cyber- og informationssikkerhed Beth Tranberg, KL.
Starten
Det var en række kommuner, der i 2019 henvendte sig til KL, for at gøre opmærksom på den ret omfattende opgave kommunerne har med at leve op til GDPR med at føre tilsyn med databehandleraftaler. KL tog godt imod initiativet.
Kommunerne gjorde opmærksom på, at der var så mange opgaver med GDPR og databeskyttelse, som kommunerne kunne samarbejde om, og dertil kom, at det var en rigtig svær opgave. “De spurgte så, om vi i KL ikke kunne prøve at kigge på, om vi kunne lave noget fælles inden for konkrete områder,” siger Beth Tranberg.
Der blev afholdt en workshop, hvorefter KL inviterede kommunerne til at deltage i Partnerskab for informationssikkerhed indeholdende otte forskellige projekter, hvor 43 kommuner tilsluttede sig.
Beth Tranberg: “Der var mange ønsker på listen, hvor kommunerne ønskede at samarbejde. Vi spurgte så kommunerne, hvis I skal prioritere, hvad ligger så højest på radaren? Det gjorde helt klart arbejdet med databehandleraftaler. Konklusionen er, at det er en meget kompleks opgave, det er en betydelig driftsopgave og det er sådan noget med, at det er de samme rutiner, der går igen og igen, og det kræver rigtig meget viden om databeskyttelse og GDPR for at løse det”.
Det var nøglen, som låste døren op til DBS.
Invitation
“Vi inviterede herefter alle 98 kommuner til at deltage og fik tilsagn fra 61 kommuner. Det glæder mig, at 11 ud af landets 12 største kommuner har meldt sig ind i foreningen. Det siger noget om, hvor kompleks og omfangsrig opgaven er. Samtidig kan opgaven løses mere effektivt, når selv de største kommuner har fordele af at løse opgaverne i et fællesskab.”
Fællesskabet består jo i, at der ligger en aftalt videndeling og kompetenceudvikling imellem sekretaritatet og de kommunale kontaktpersoner på området. Så der er tale om et løbende samarbejde.
Den retslige ramme for DBS er en forening. Foreningsmodellen er valgt, fordi det er en organiseringsform, som de fleste kommuner kender i forvejen, og som er fleksibel i forhold til medlemskreds og inddragelse af nye tiltag og initiativer. Det er Advokatfirmaet Horten som har skrevet vedtægterne.
46 pct. højrisiko systemer
Et udtræk fra KITOS (OS2 porteføljestyringssystem red.) i oktober 2021 viser en liste med 374 it-systemer, hvor mindst 20 kommuner anvender samme it-løsning. Følsomheden af indholdet i systemerne danner grundlag for, hvor højt arbejdet med de enkelte databehandleraftaler skal prioriteres. Udgangspunktet er opdeling af kommunernes databehandleraftaler efter risikoniveau.
Fordelingen viser 172 it-løsninger med høj risiko – svarende til 46 pct. 41 pct. svarer til 153 it-løsninger med middel risiko og 13 pct. svarer til 49 it-løsninger med lav risiko. Jo højere risiko, desto oftere skal der føres tilsyn og kontrol med databehandleren.
“Business Casen viser os, at hvis vi kunne bygge en databehandleraftale, som var udfyldt på forhånd og som vi kunne harmonisere i Datatilsynets standardskabelon, så vil vi effektivisere arbejdet. Det er klart, hvis der er registreret oplysninger om børn i it-systemet, så vil en databehandleraftale altid være i højrisiko, fordi der er tale om særligt følsomme oplysninger. Man laver så en omfattende risikovurdering, inden man kan indgå en aftale med en leverandør,” siger Beth Tranberg.
KL og kommunerne har haft et indledende møde med IT-Brancheforeningen, som repræsenterer leverandørerne, og de synes godt om ideen med DBS. “De ved også godt, at der vil blive stillet krav, men det ved alle efter EU-domstolens Schrems II dom i juli 2020.”
Blandt leverandørerne er der nogle, som har flere hundrede forskellige databehandleraftaler med kommunerne.
“Så vores arbejde med at harmonisere databehandleraftaler, som opretholder standarder for databehandler og føre fælles tilsyn, vil også lette arbejdet for leverandørerne,” siger Beth Tranberg.
Herefter går det stærkt. I slutningen af 2021 indbydes alle 98 kommuner til at tilslutte sig foreningen med tilslutningsaftaler, vedtægter, beskrivelse af roller og ansvar samt beskrivelse af fordelingen af arbejdet mellem forening og kommuner og de dataansvarlige i kommunerne.
Alle 98 kommuner tilbydes at blive medlemmer. I skrivende stund er 61 kommuner med.
Fakta
Antal systemer Procent
Høj risiko 172 46
Mellem risiko 153 41
Lav risiko 49 13
I alt 374