Datatilsynet opstiller betingelser for kommunes brug af Skype til kommunikation med borgerne/Kritik af kommunes offentliggørelse af byggesagsarkiv på internettet

Dato 28 nov. 2012
Download PDF version PDF

 

Denne gang handler MWB Updated – Persondataret blandt andet om en kommunes ønske om at benytte Skype.

 

Datatilsynet opstiller betingelser for kommunes brug af Skype til kommunikation med borgerne

Datatilsynet har for nylig behandlet Syddjurs Kommunes anmodning om at kunne benytte Skype til kommunikation med borgere og opstillet strenge betingelser herfor.

Kommunen overvejede at bruge Skypes videosamtalefunktion navnlig i forhold til psykisk og fysisk svage borgere, hvorved der vil blive behandlet følsomme personoplysninger.

Datatilsynet har peget på en række problemstillinger i forhold til Persondataloven, som kommunen skal afklare inden ibrugtagning af Skype-løsningen. Først og fremmest skal kommunen afklare, hvilke oplysninger der behandles, hvordan, hvor og hvor længe oplysningerne behandles, samt af hvem.

Herudover anfører Datatilsynet, at kommunen skal sikre, at de registrerede har alle rettigheder som følger af Persondataloven, f.eks. ret til indsigt i og sletning af registrerede oplysninger.

Kommunen skal sikre, at brugen af Skype opfylder Persondatalovens krav, herunder at datasikkerheden hos Skype er tilstrækkelig, og at databehandleraftalen mellem kommunen og Skype lever op til lovgivningens krav. Det vil sige, at kommunen skal foretage en risikoanalyse af løsningen og af Skype som databehandler.

 

Vores vurdering

Udtalelsen åbner op for, at Skype-løsningen kan være en mulighed for offentlige myndigheder. Det skal dog sikres, at brugen af Skype sker på betryggende vis og under iagttagelse af reglerne i Persondataloven og sikkerhedsbekendtgørelsen, hvorved det kan være svært at kunne komme til at benytte Skype-løsningen i praksis.

Der er os bekendt ingen kommuner, der efterfølgende har anmeldt benyttelse af Skype til Datatilsynet. Det vil navnlig være i forhold til krav om logning og lagring af indhold samt ved aflytning, at benyttelsen af Skype-løsningen kan vise sig vanskelig i praksis.

[Datatilsynets afgørelse af 30. august 2012, journalnummer: 2012-323-0022]


 

Kritik af kommunes offentliggørelse af byggesagsarkiv på internettet

Datatilsynet har for nylig kritiseret Vejle Kommune for at offentliggøre personoplysninger i et byggesagsarkiv via hjemmesiden weblager.dk.

Vejle Kommune havde via hjemmesiden offentliggjort mindst et personnummer. Herudover havde en borger med adressebeskyttelse klaget over, at der på hjemmesiden var adgang til vedkommendes adresse.

Datatilsynet fandt på den baggrund, at kommunen ikke havde levet op til kravet om, at kommunen er forpligtet til at træffe de fornødne sikkerhedsforanstaltninger mod, at personoplysninger kommer til uvedkommendes kendskab.

Det på trods af at den scanning, som blev foretaget for kommunen af en ekstern databehandler, var mere "finmasket" end tilsvarende scanninger foretaget af andre kommuner.

Datatilsynet indskærpede i udtalelsen, at kommunen ved at overlade behandling af personoplysninger til en databehandler, skal indgå en skriftlig databehandleraftale. Datatilsynet fandt, at den indgåede databehandleraftale mellem kommunen og databehandleren ikke levede op til de krav, der følger af lovgivningen.

 

Vores vurdering

Datatilsynets udtalelse er ikke opsigtsvækkende. Imidlertid er det værd at bemærke, at selv ved anvendelse af finmaskede scanninger, er det ikke altid tilstrækkeligt til at overholde kravet om at træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Lov om behandling af personoplysninger.

Med et stigende fokus på compliance inden for persondataområdet, vil vi i fremtiden sandsynligvis se flere af sådanne afgørelser. Datatilsynet har herudover ved afgørelsen sat fornyet fokus på kravet om indgåelse af skriftlige databehandleraftaler.


[Datatilsynets afgørelse af 19. oktober 2012, journalnummer: 2012-632-0001]

 


Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.