Oprettelsen af Det Fælleskommunale Databehandlersekreatariat med adresse i Viborg Kommune har på nuværende tidspunkt opbakning fra 61 kommuner. En af stifterne It- og digitaliseringschef Erik Sørensen, Viborg Kommune, er udpeget som bestyrelsesformand i foreningen bag sekretariatet. Han fortæller, at det har taget halvandet år at få Databehandlersekretariatet på plads i et partnerskab med KL.
EU´s Databeskyttelsesforordning med GDPR-reglerne har skærpet kravene til kommunernes behandling og kontrol af personoplysninger. Kommunerne skal som dataansvarlige kunne dokumentere, at de kontrollerer de leverandører, som leverer it-systemer til kommunerne og om de opfylder GDPR-reglerne i behandlingen af borgernes data. Der er både tale om beskrivelser af it-systemer og databehandleraftaler, risikovurderinger. Det er den samlede mængde af det arbejde, der bliver lagt ind i Databehandlersekretariatet.
Sekretariatet skal tage udgangspunkt i de systemer, som mindst 20 kommuner bruger.
"Der ligger 370 databehandleraftaler i den pulje. Det er oceaner af timer, der bliver sparet i kommunerne ved, at sekretariatet gør det,” siger Erik Sørensen.
Erik Sørensen understreger, at kommunerne ikke kan fralægge sig dataansvaret ved at melde sig ind i foreningen. Men databehandlersekretariatet kan spare mange timer i hver kommune ved at løfte opgaven.
Viborgs it-chef er positivt overrasket over, at så mange kommuner er med fra start. Selv de store kommuner som København, Aarhus, Odense og Aalborg, hvor man kunne tænke, at der var kompetencer og ressourcer til opgaven, ser en fordel i at gå med i et fællesskab.
Kommunerne skal underskrive databehandleraftaler for hvert eneste system og hver eneste leverandør og kontrollere om leverandørerne behandler data efter GDPR-reglerne. En opgave, der har trukket tænder ud i hver eneste kommune.
“Formålet med etableringen af Databehandlersekretariatet er, at vi fremover vil gøre arbejdet i fællesskab i stedet for at gøre det hver for sig. Vi skal som dataansvarlige kigge ned i den enkelte databehandleraftale og i revisionens bemærkninger. Du bliver som dataansvarlig nødt til at være nede i databehandlingen i de systemer vi bruger. Du skal ligeledes være opmærksom på underdatabehandlere på listen. Når vi så får listerne, er der nogle af dataoverførslerne, der er landet i tredjelande uden for EU,” siger Erik Sørensen.
I dag er det meget sjældent, at der kun er én leverandør til ét system. Der er i reglen en hovedleverandør, som så outsourcer dele af udvikling og drift til andre leverandører. De kaldes for “underdatabehandlere”. Her skal it-cheferne sikre sig, at hovedleverandøren, der har ansvaret for databehandleraftaler med underleverandørerne, også påtager sig det ansvar. Det er med andre ord en lang kæde af databehandleraftaler afhængigt af, hvor små eller store it-systemerne er.
Starten
Selvom det har taget halvandet år at etablere sekretariatet med 43 kommuner, som var med fra start, er der også et forløb som går forud for det. Efter indførslen af GDPR-forordningen den 25. maj 2018, gennemførte Datatilsynet en kontrol af fire jyske kommuners omgang med databehandleraftaler i oktober 2018. Altså blot fem måneder efter igangsætningen af GDPR.
De fire jyske kommuner bliver pillet ud, da Datatilsynet laver et tjek på, hvordan de fire kommuner kontrollererer og tager ansvar for databehandleraftaler. I november 2018 er Datatilsynet færdig med sit arbejde. I januar 2019 truer Datatilsynet it-cheferne med bøder og fængsel - “og hele svineriet” som Erik Sørensen siger.
“I løbet af foråret 2019 sætter vi enorme kræfter ind på at få registreret databehandler- og underdatabehandleraftalerne. Vi var igang med arbejdet, da vi bliver trukket ud til kontrol af Datatilslynet. Men vi havde håbet på, at vi havde fået mere tid til at gøre vores arbejde færdigt. Men vi får registreret alle databehandlerne, og vi får lavet kontroller af dem og lagt det ind i vores informationssikkerhedssystem og dokumenterer, at alt er som det skal være over for Datatilsynet,” siger Erik Sørensen.
Det ender med, at i august 2019, fik de fire kommuner en stor rød næse af Datatilsynet og fik at vide, at det stadig ikke var godt nok. De fik “alvorlig kritik” af Datatilsynet. Men de slap for bøder og fængsel.
Og ikke nok med at kommunerne tager ansvar for databehandleraftalerne. De skal også gennemgå omfattende revisionserklæringer, som kommunerne skal læse igennem og kommentere.
“Efter at have fået alvorlig kritik af Datatilsynet, skal vi så lave dokumentation for, hvordan vi har tænkt os at undgå at havne i den samme situation igen. Det arbejdede vi på i hele 2019.
Kommunaldirektøren og borgmesteren kommer på banen
Situationen, der opstod efter Datatilsynets kritik, fik både kommunaldirektøren og borgmesteren i Viborg til at starte en dialog med KL om, at det er langt ude, hvis hver enkelt kommune skal leve op til de strikse krav, som Datatilsynet rejser i forhold til databehandleraftaler.
Kommunerne læser de samme regler, bruger i mange tilfælde de samme leverandører og har derfor behov for de samme databehandleraftaler.
Erik Sørensen: “Det er spild af god tid, og hvis man ikke gør noget, ender det med, at 98 kommuner løser det hver for sig. Vi bruger resten af 2019 og det meste af 2020 på, om vi kan få det løst i et fællesskab. I KL er de positive, og det ender med at vi laver en forening eller partnerskab, hvor de kommuner, der er villige til at bruge penge på det og byde ind med kompetencer og ressourcer, kommer med om bord. Det er den rigtige konstruktion, og jeg har store forventninger til, at vi kan løse denne opgave langt mere effektivt. Desuden bliver det kvantitativt og kvalitativt langt bedre, når det løses i fællesskab”.
Microsoft
Næsten alle landets kommuner bruger Microsoft Office 365 pakker og Azure som infrastruktur i Skyen. Microsoft, som er et amerikansk firma, har deres eksterne revisorer, som laver uvildige revisionserklæringer om Microsofts systemer, om de lever op til EU´s GDPR-regler. Det er de kommunale it-chefers opgave at læse de revisionserklæringer igennem for at sikre sig, at Microsoft overholder GDPR-forordningen.
“Vi har lige været igennem revisionserklæringen på Microsoft og de afledte systemer. Det er tre revisionserklæringer på i alt 560 sider, vel at mærke på komplekst engelsk. Det bruger man omkring to dage på at læse og gennemgå. Alle kommuner bruger formentlig Microsoft og sidder hvert år og bruger tid på de revisionserklæringer”.
Revisionserklæringerne bliver lagt ud på en hjemmeside den 30. september. Efter årsberetningen kommer så et “bridge letter”, som udkommer ved udgangen af året – og som dækker perioden i fjerde kvartal, hvis der skulle være fundet noget af betydning for databehandleraftalerne. Ifølge Erik Sørensen er det næsten en rebus at finde de relevante dokumenter.
“Det er meningsløst, at alle 98 it-chefer bruger tid på at downloade de samme revisionserklæringer fra Microsoft. Det giver bedre mening at samle kræfterne og lade databehandlersekretariatet løse den opgave på vegne af kommunerne, siger Erik Sørensen.
Viborg Kommune lægger lokaler til sekretariatet, der ifølge Erik Sørensen er planlagt til at have fem ansatte: En sekretariatschef, en halv administrativ medarbejder og tre jurister/it-sikkerhedskyndige.
Fakta
• Det nye sekretariat hedder Det Fælleskommunale Databehandlersekretariat (DBS).
• Bestyrelsen for foreningen består af otte medlemmer. It-og digitaliseringschef i Viborg Kommune, Erik Sørensen, er formand for bestyrelsen.
• Sekretariatet skal føre tilsyn med de databehandleraftaler, som foreningens medlemmer har indgået med leverandører og øvrige samarbejdspartnere.
• Sekretariatet kan også forhandle databehandleraftaler og lave risikovurderinger af de databehandlinger, som aftalerne omfatter.
Kontingent
Kategori 1 – 0-50.000 indbyggere 90.000 kr.
Kategori 2 – 50.000-100.000 indbyggere 110.000 kr.
Kategori 3 – 100.000-200.000 indbyggere 125.000 kr.
Kategori 4 – over 200.000 indbyggere 150.000 kr.