Datatilsynets kritik og krav
Datatilsynet har afsluttet det sjette AULA‑tilsyn og udtalt kritik af Københavns Kommune, fordi den gennemførte konsekvensanalyse ikke opfylder mindstekravene i GDPR. Tilsynet fandt, at kommunen ikke fuldt ud havde godtgjort, at passende foranstaltninger nedbringer alle identificerede risici.
Myndigheden anbefaler, at den reviderede risikovurdering tydeligt viser før‑/efter‑situationer og kobler konkrete foranstaltninger til hver risiko. Kommunen har arbejdet målrettet med risikoreduktion, herunder håndtering af risici forbundet med brugen af UNI‑login.
AULA‑moduler og præcisering af formål
Sagen omfatter også en intern tilsynsrapport fra kommunens databeskyttelsesrådgiver vedrørende modulet Sikker fildeling. Datatilsynet har på den baggrund bedt om afklaringer og anbefaler, at kommunens konsekvensanalyse præciserer behandlingsformål for AULA.
Det anbefales desuden at angive, hvilke dokumenttyper Sikker fildeling anvendes til, og hvilke typer personoplysninger de typisk indeholder. Afgørelsen kan læses her.
Fælles læring og værktøjer
På Datatilsynets kontaktudvalgsmøde drøftede kommuner og regioner praktiske erfaringer med risikovurderinger og konsekvensanalyser med udgangspunkt i AULA‑tilsynene. Esbjerg Kommune fremhævede betydningen af solide fortegnelser og samspillet mellem teknologi, processer og personale i risikostyringen.
KOMBIT overvejer en fælles konsekvensanalyse og arbejder med en compliancepakke med skabeloner til kommunerne. Datatilsynet har desuden publiceret nye skabeloner for konsekvensanalyser, herunder for AI‑løsninger, som kan findes her.
