Forrige GDPR aftale


 Unødige aftaler

Unødige databehandleraftaler - www.version2.dk


Leverandører presser kommuner til at indgå databehandleraftaler - truer med at opsige samarbejde



gdpr logo

Illustration: Lasse Gorm Jensen


Kommuner og leverandører er ofte uenige om, om der er brug for en databehandleraftale. Flere kommuner har følt sig presset af leverandører og påtager sig unødvendigt dataansvar.

Databehandleraftaler er for alvor kommet på dagsordenen efter indførelsen af GDPR, og udsigten til store bøder har betydet, at der er kommet større fokus på at placere ansvaret for data i ethvert leverandørsamarbejde.

I kommunerne oplever man, at leverandørerne insisterer på at få underskrevet databehandleraftaler - også selvom der i kommunernes optik ikke er brug for dem.

Når der underskrives en databehandleraftale, ligger dataansvaret hos kunden - kommunen - der altså skal stå til regnskab i tilfælde af databrud.

Til gengæld indebærer databehandleraftalerne også en såkaldt instruktionsbeføjelse, der betyder, at kunden kan stille krav til sikkerheden hos leverandøren.

Men i flere kommuner har man set, at leverandører stiller krav om databehandleraftaler, selvom kunden ikke har mulighed for at stille krav til sikkerheden, fordi der er tale om et standardprodukt.

»Leverandøren kan være interesseret i at have en databehandleraftale, fordi det økonomiske ansvar i tilfælde af databrud i så fald ligger hos kommunen. Men det, der så bliver interessant, er, når vi render ind i de situationer, hvor vi reelt set ikke har nogen instruktionsbeføjelse, fordi løsningen bliver leveret ‘as is’,« siger Jens Kjellerup, der er digitaliseringschef i Ballerup Kommune.

I flere tilfælde har Ballerup Kommune haft leverandører, som pludselig kræver en databehandleraftale som betingelse for fortsat samarbejde, selvom kommunen ikke mener, at den har nogen mulighed har for at påvirke sikkerheden i produktet.

Det gælder blandt andet e-boks.

Adskillige leverandører har truet med at lukke for adgangen til deres tjenester, hvis der ikke underskrives databehandleraftaler, og i flere tilfælde har Ballerup Kommune underskrevet databehandleraftaler, som man ikke mener er retvisende, fordi man ikke har kunnet undvære leverandørernes produkter.

Luk annoncenAnnonce

Håndværkereksemplet

Også i Favrskov Kommune kan man nikke genkendende til problematikken.

Her har Pia Pehrssson, der er kommunens DPO, haft mange diskussioner med leverandører, som kræver databehandleraftaler, selvom det ifølge hende virker åbenlyst, at virksomhederne selv er dataansvarlige.

»Et eksempel var et stort firma, der laver høreapparater. En europæisk koncern, der var meget stålsat på, at de skulle have denne her databehandleraftale, og de kunne ikke håndtere os eller sende os regninger eller noget som helst, hvis ikke vi havde en databehandleraftale,« siger hun.

»De truede simpelthen med at opsige samarbejdet med os.«

Ifølge Datatilsynets vejledning skal der ikke ligge en databehandleraftale, hvis samarbejdet mellem kunde og leverandør “først og fremmest” handler om noget andet end behandling af personoplysninger - som for eksempel en håndværkerydelse. Heller ikke selvom kunden sender oplysninger til leverandøren, der er nødvendige for at kunne løse opgaven.

Derfor afviste Pia Pehrsson og Favrskov Kommune da også høreapparatleverandøren.

»Vi har nogle borgere, der skal have et høreapparat, så vi sender data om borgerne videre til leverandøren. Men de er selv ansvarlige for, hvad de gør herefter, for det er deres speciale. De leverer høreapparater, og så må de sende os regningen. De er ansvarlige for deres del, og vi er ansvarlige for vores del.«

Håbløst

Hanne Marie Motzfeldt er jurist og lektor ved Center for Informations- og Innovationsret ved Københavns Universitet, og hun er også stødt på konflikterne om, hvem der bærer dataansvaret.

»Det er helt rigtigt en problematik, som jeg har set en del eksempler på,« siger hun.

Eksemplet med e-boks undrer hende, fordi databehandleraftalen ikke giver mening, når den enkelte kommune som kunde ingen indflydelse har på, hvordan data behandles.

»E-boks er jo bare helt håbløst. Her vil leverandøren bestemme, hvordan kommunen fører tilsyn i en konstruktion, hvor kunden ikke har et reelt valg. Det er ikke en sund konstruktion. Det burde være så udtrykkeligt og virkelighedsnært lovreguleret, at kommunerne kunne være helt trygge i forhold til, hvad de skal – og ikke skal – stå inde for.«

E-boks er ikke vendt tilbage med en kommentar inden deadline for denne artikel.

Du kan læse mere om problematikken på Ingeniørens pro-medie DigiTech. Her fortæller kommunerne blandt andet om, hvordan de har fået leverandører til at afvige fra kravet om databehandleraftaler.



Kilde: https://www.version2.dk/artikel/leverandoerer-presser-kommuner-at-indgaa-databehandleraftaler-truer-med-at-opsige-samarbejde

 
Til top
PDF   Print
Piil data ks Åbenrå 25 1124 Copenhagen K E-mail: www@piil.dk
Rapportér et problem.
Actual website layout: Keep it simple.