Alvorlig kritik til Roskilde Kommune for manglende dokumentation af brud på persondatasikkerheden

Datatilsynet gennemførte i 2021 et skriftligt tilsyn med Roskilde Kommune for at undersøge, om kommunen overholder databeskyttelsesforordningens artikel 33 om anmeldelse og dokumentation af brud på persondatasikkerheden. Tilsynet blev iværksat, da det blev konstateret, at Roskilde Kommune anmeldte færre brud end andre kommuner.

Datatilsynet fokuserede på, om kommunen havde passende procedurer og retningslinjer for at opdage og behandle brud korrekt, samt om medarbejderne var tilstrækkeligt uddannede til at identificere, håndtere og vurdere brud. Kommunen fremsendte en udtalelse med dokumentation for procedurer og uddannelsesaktiviteter.

Datatilsynet har undersøgt, om kommunerne foretager anmeldelse af og dokumenterer brud på persondatasikkerheden i overensstemmelse med kravene i databeskyttelsesforordningen, herunder deres processer for håndtering og registrering af brud på persondatasikkerheden.

Datatilsynet bemærkede, at kommunerne generelt havde passende procedurer og uddannelsesaktiviteter, men understregede vigtigheden af, at alle relevante medarbejdere deltager i disse aktiviteter, og at der er tilstrækkelig dokumentation for alle brud, uanset om de anmeldes eller ej. Dokumentationen skal gøre det muligt for Datatilsynet at kontrollere overholdelsen af reglerne.

Datatilsynet udtalte alvorlig kritik af Roskilde Kommune for manglende dokumentation af brud på persondatasikkerheden i perioden fra 25. maj 2018 til september 2019, samt for manglende dokumentation for, hvorvidt registrerede sikkerhedshændelser siden september 2019 udgjorde egentlige brud på persondatasikkerheden.

Centrale punkter i afgørelsen:

• Kommunen har ikke dokumenteret alle brud på persondatasikkerheden siden Databeskyttelsesforordningen art. 33, stk. 5.
• Kommunen kan ikke dokumentere, om de registrerede sikkerhedshændelser udgjorde egentlige brud.
• Datatilsynet fandt, at kommunen overordnet set har passende procedurer og retningslinjer for at opfange og behandle brud korrekt.

Datatilsynet lagde vægt på den manglende dokumentation over en længere periode, hvilket gjorde det vanskeligt at vurdere, om der var sket brud, som skulle være anmeldt.