Bekymrende udvikling: KL vil have kigget på persondatalov
tekst Jon Kirketerp Jørgensen
Der er brug for at få kigget grundigt på den danske implementering af EU’s databeskyttelsesforordning. Det mener Thomas Kastrup-Larsen (S), der er formand for KL’s arbejdsmarkeds- og borgerserviceudvalg.
– Vi skal være utroligt gode til at passe på borgernes data, og det har vi meget stort fokus på. Vi skal behandle borgernes data ordentligt og respektfuldt, men der er også ting i databeskyttelsesforordningens danske implementering, hvor vi bare må sige, at det ikke er fornuftigt. Hvor reglerne er for rigide, siger Thomas Kastrup-Larsen, der også er borgmester i Aalborg.
Han fortæller, at der på grund af de skrappe sanktioner for overtrædelser af databeskyttelsesforordningen er opstået en kultur i kommunerne, hvor man for at være på den sikre side bruger store mængder tid og ressourcer på at dække sig ind.
– Der har bredt sig en "cover-my-ass"-kultur rundt omkring i kommunerne, hvor man mere tænker på, hvordan man kan gardere sig mod at lave fejl, end at have fokus på, hvordan man giver borgerne den bedst mulige service. Det er en bekymrende udvikling, siger han.
Regler tolkes for restriktivt
Kulturen ser han for eksempel konkretiseret i en række tvivlstilfælde, som kommunerne forsøger at få afklaret. Han peger på eksempler som børnehaver, der er i tvivl om, hvorvidt de må hænge billeder af børnehavebørnene op i institutionen, og forvirring om hvorvidt en kommune må tage imod og gemme en underskriftindsamling.
– Det er jo en helt grundlæggende del af den demokratiske proces, som der skal være plads til. Men det er et af de grænsetilfælde, hvor vi oplever, at reglerne bliver tolket restriktivt ikke kun i kommunerne, men også i de råd og vejledninger, vi får fra Datatilsynet og fra Christiansborg, siger Thomas Kastrup-Larsen.
Han peger selv på et eksempel fra sin hjemkommune i Aalborg, hvor man på socialområdet holdt op med at kommunikere med hjemløse via sms-beskeder af hensyn til persondatareglerne. SMS-beskeder er ikke sikker kommunikation, og derfor kan kommunerne ikke uden videre minde hjemløse om lægeaftaler for eksempel, fordi det kan være en personfølsom oplysning, som skal beskyttes.
– For mange udsatte er det et kæmpe plus og rigtig vigtigt, at de bliver mindet om vigtige aftaler. Men her kan reglerne blive så rigide, at de simpelthen trumfer sund fornuft og betyder, at vi ikke kan udføre vores opgaver på en ordentlig, rimelig og effektiv måde, siger Thomas Kastrup-Larsen.
Og endnu et eksempel er kommunernes brug af Facebook. Kommuner skal indgå databehandleraftaler med deres leverandører, så kommunerne sikrer, at leverandører, der håndterer data, lever op til databeskyttelsesforordningen. KL’s vurdering er, at det er tvivlsomt, om Facebooks databehandlervilkår lever op til de krav.
– Hvis vi ikke kan bruge Facebook som kommunikationskanal, hvor langt de fleste danskere jo er til stede, så vil det have kedelige konsekvenser. Det kunne betyde, at borgerne ikke får mulighed for at blive inddraget i budgetlægningsprocessen, siger Thomas Kastrup-Larsen.
Behov for servicetjek
Derfor er der brug for, at der kommer klarhed om, hvordan kommunerne kan agere. Og den skal komme fra Christiansborg, mener KL’s udvalgsformand.
– Der er behov for, at vi bliver enige om, hvordan vi kan organisere arbejdet og hvor grænserne går. Den drøftelse skal tages i Folketinget, og det kan godt være, at det så skal medføre ændringer af loven. Men det vigtigste er, at vi får taget udfordringerne op og finder ud af, hvor snittet skal ligge, så vi ikke i kommunerne skal gå rundt og frygte politianmeldelser og bøder, siger Thomas Kastrup-Larsen.
Spørgsmål: Der er så sent som i august måned kommet to afgørelser fra Datatilsynet, hvor de udtaler alvorlig kritik af to kommuner, som ikke har overholdt reglerne for databehandlere. Burde kommunerne ikke starte med at få styr på det, før de taler om regelændringer?
– Vi skal selvfølgelig overholde de regler, der giver mening. Det, vi hæver flaget for her, er, at der er nogle af reglerne, som slet ikke giver mening på nuværende tidspunkt, eller hvor der er rigtig meget tvivl om, hvordan man overholder dem. Det gør det vanskeligt at drive kommune og generer borgerne. Det har vi behov for at få kigget på, siger Thomas Kastrup-Larsen.
Spørgsmål: Vi har også set eksempler på, at kommuner kommer til at have borgeres CPR-numre liggende frit tilgængeligt på hjemmesider, og et eksempel, hvor en ansat i en kommune gemmer personfølsomme oplysninger på en pc, som den ansatte så mister. Er det så ikke fint, at der er regler og sanktioner, der bidrager til, at kommunerne er meget opmærksomme på persondatabeskyttelse?
– Det er rigtig godt, at der er regler, der klart understreger, hvordan vi skal passe på borgernes data. Men jeg tror også, det er vigtigt at anerkende, at de regler ikke trumfer sund fornuft. Og så vil jeg sige, at kommunerne har omkring 450.000 ansatte samlet set. Så der vil altid være nogen, der begår fejl. Uanset hvor fintmasket et system man har, og uanset hvor skrappe sanktionerne er. Det ville være bekymrende, hvis der var systematiske fejl, og hvis vi som kommuner ikke lagde os i selen for at beskytte borgernes data. Men det gør vi jo. Vi vil bare også rigtig gerne løse vores opgaver effektivt og ordentligt, siger Thomas Kastrup-Larsen.
EU’s databeskyttelsesforordning trådte i kraft den 25. maj 2018. jki@kl.dk