Flere kommuner kritiseres af Datatilsynet for manglende konsekvensanalyse af AULA

Flere kommuner kritiseres af Datatilsynet for manglende konsekvensanalyse af AULA

Compliance Offentlig ret Persondata og cybersikkerhed
Datatilsynet retter skarp kritik mod fem kommuner for manglende eller svage konsekvensanalyser i AULA. Myndigheden påpeger utilstrækkelig risikostyring, mange misafsendelser og opfordrer til fælles DPIA og tekniske kontroller. Børns data kræver skærpede foranstaltninger.

Datatilsynets kritik og påbud

Datatilsynet har afsluttet fem af seks tilsynssager om kommuners brug af AULA og konstaterer gennemgående mangler i databeskyttelsen. Særligt konsekvensanalyser (DPIA) var enten helt fraværende eller udarbejdet for sent og uden tilstrækkelig dybde.

To kommuner havde slet ikke udført en DPIA og modtog alvorlig kritik samt påbud om at gennemføre en analyse inden tre måneder. For de øvrige var analyserne utilstrækkelige og lå langt efter fastlæggelsen af dataansvaret i 2019; i flere tilfælde blev de først tilvejebragt i forbindelse med tilsynet i 2021. Samtidig fik alle fem kommuner kritik for risikovurderinger, der hverken dokumenterede identificerede risici eller passende foranstaltninger.

Børn og høje risici udløser DPIA

AULA behandler omfattende og til tider følsomme oplysninger om børn. Efter databeskyttelsesforordningen nyder børn særlig beskyttelse, fordi de typisk er mindre bevidste om datarisici. Det skærper kravene til den dataansvarlige, bl.a. ved valg af sikkerhedsforanstaltninger og ved behovet for en DPIA.

Datatilsynet fremhæver, at kravet om konsekvensanalyse udløses, når de potentielle konsekvenser for registrerede kan være alvorlige, også selv om sandsynligheden vurderes lav. Vægten skal således lægges på konsekvensens alvor i den samlede risikovurdering. Datatilsynet peger desuden på et betydeligt antal misafsendelser i AULA og anbefaler tekniske kontroller, der kan nedbringe denne risiko.

Praktiske implikationer for kommuner

Myndigheden opfordrer KL, KOMBIT og Styrelsen for It og Læring til at understøtte en fælles DPIA og til at afsøge fælles tekniske løsninger. Kommuner bør samtidig styrke deres egen governance og dokumentation. Følgende tiltag bør prioriteres på kort sigt:

  • Gennemfør og vedligehold en DPIA for AULA, gerne koordineret via KOMBIT, med tydelig dokumentation af formål, risici og risikoreduktion.
  • Implementér konkrete tekniske foranstaltninger mod fejlfremsendelser, fx modtagerbekræftelse, begrænsede distributionslister, adgangsstyring og logning.
  • Opdater risikovurderinger efter GDPR art. 32 og dokumentér organisatoriske kontroller, herunder uddannelse og klare instrukser til brugere.
  • Klargør roller og ansvar mellem dataansvarlige og eventuelle databehandlere, og ajourfør relevante aftaler og politikker.

Sagerne markerer en skærpet praksis: hvor DPIA tidligere blev anset som undtagelse, må offentlige dataansvarlige nu forventes oftere at gennemføre den, særligt ved systemer, der håndterer børns oplysninger i stor skala.

Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Databehandleraftale, Risikovurdering, Informationssikkerhed, Hændelsesrapportering, GDPR art. 32, GDPR art. 6, Databeskyttelsesloven, Datatilsynet, DPIA, Databeskyttelsesforordningen, Konsekvensanalyse, Dataansvarlig, GDPR art. 35, Privacy by design, Kommunal forvaltning, Dataminimering, Brud på persondatasikkerheden, Personoplysninger, GDPR art. 5, Databehandler, KL, Behandlingssikkerhed, Fortrolighed, Offentlig myndighed, Adgangsstyring, Tekniske og organisatoriske foranstaltninger, Logning, Påbud, Uddannelse af medarbejdere, Særlige kategorier af oplysninger, Børn og unge, KOMBIT, Kommunal digitalisering, Kritik, Styrelsen for It og Læring, AULA, Databeskyttelse som standard, Fejlfremsendelse, Skolekommunikation

Relaterede artikler

Tv-overvågning af medarbejdere hos DSB Service & Retail A/S
Datatilsynet

Tv-overvågning af medarbejdere hos DSB Service & Retail A/S

Datatilsynet fastslår, at DSB Service & Retail A/S’ tv-overvågning til forebyggelse og opklaring af kriminalitet kan ske med hjemmel i GDPR art. 6, stk. 1, litra f. Adgang til optagelser kræver dog begrundet mistanke om grovere overtrædelser og fravær af mindre indgribende alternativer.
Sidste chance: Få styr på efteruddannelsen inden nytår
Advokatsamfundet

Sidste chance: Få styr på efteruddannelsen inden nytår

Advokater med periodeudløb ved årsskiftet skal have opfyldt krav om 54 lektioner inden fristen. Pligten er personlig og gælder også ved deponering i december. Gem kursusbeviser forsvarligt til tilsyn og efterfølgende indberetning via Advokatsamfundet.
Analyse: Regnestykket bag strafreform hænger ikke sammen
Advokatsamfundet

Analyse: Regnestykket bag strafreform hænger ikke sammen

En ny analyse advarer om, at strafreformen øger antallet af indsatte uden at sikre realistisk kapacitetsudvidelse. Bemandingen halter, og planerne for flere cellepladser hviler på usikre byggerier og aftaler, hvilket kan forstærke overbelægning og presse retssikkerheden.
Opfølgning på tilsyn med kommunernes webarkiver
Datatilsynet

Opfølgning på tilsyn med kommunernes webarkiver

De fleste kommuner har nu offentlige webarkiver og arbejder efter Datatilsynets praksis for publicering af personoplysninger. Scanningsværktøjer og interne retningslinjer er udbredte, men tilsynet efterlyser løbende stikprøver og manuel kontrol samt henviser til foranstaltningskataloget.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
Bevisret - herunder syn og skøn
6
Danske Advokater
Bevisret - herunder syn og skøn

Relaterede jobs

Statens Serum Institut
Jurist til Afdelingen for Databeskyttelse og Informationssikkerhed på Statens Serum Institut
Statens Serum Institut
Politiets Efterretningstjeneste
Sektionsleder til Personalesikkerhed i PET
Politiets Efterretningstjeneste
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Erhvervsministeriet
Juridisk sektionschef til spændfeltet mellem politik og jura
Erhvervsministeriet
Forsvaret
DPO til Hjemmeværnet
Forsvaret
Erhvervsministeriet
Kontorchef med ansvar for tilsynet med pensionskasser
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →