Flere kommuner kritiseres af Datatilsynet for manglende konsekvensanalyse af AULA
Tilbage i efteråret 2021 igangsatte Datatilsynet et tilsyn med i alt seks udvalgte kommuners behandling af personoplysninger i AULA. Nu har Datatilsynet truffet afgørelse i fem ud af seks af sagerne. Tilsynssagerne viser, at der eksisterer nogle generelle databeskyttelsesretlige problematikker ved anvendelsen af AULA i kommunerne, herunder særligt manglen på tilstrækkelig udarbejdelse af konsekvensanalyser.
Derfor skal børns personoplysninger være under særlig beskyttelse – også i AULA
De fleste, der har skolebørn, kender til platformen AULA. På AULA foregår størstedelen af al kommunikation mellem forældre, elever og skolen. AULA indeholder derfor også mange personoplysninger, herunder både følsomme og fortrolige oplysninger om børn.
Børn har i medfør af databeskyttelsesforordningen en særlig beskyttelse, idet børn ofte er mindre bevidste om de risici og konsekvenser, der er, når deres personoplysninger bliver behandlet. Derfor stilles der typisk også større krav til den dataansvarlige i forhold til sikkerhed, når der behandles personoplysninger om børn.
Kommunerne får kritik for deres konsekvensanalyser
Det er særligt udarbejdelse af konsekvensanalyser, Datatilsynet kritiserer i afgørelserne.
To kommuner havde slet ikke udarbejdet en konsekvensanalyse, hvorfor de modtog alvorlig kritik samt påbud om at udarbejde en konsekvensanalyse inden for tre måneder. For så vidt angår de øvrige kommuner, vurderede Datatilsynet, at deres konsekvensanalyser ikke var tilstrækkelige. Hertil kritiserede Datatilsynet også, at konsekvensanalyserne først var blevet udarbejdet lang tid efter, at dataansvaret for AULA blev fastlagt tilbage i 2019. To ud af de tre kommuner udarbejdede endda først en konsekvensanalyse i forbindelse med, at Datatilsynet igangsatte tilsynet i 2021.
Hvad er en konsekvensanalyse, og hvorfor er den vigtig?
En konsekvensanalyse er en proces, hvor du systematisk vurderer de potentielle konsekvenser, der kan være ved behandlingen af persondata. Processen bidrager til en vurdering af nødvendigheden af at behandle de pågældende persondata, ligesom den bidrager til at håndtere de risici, der kan være for personerne, når deres data behandles. Det er derfor et essentielt værktøj i beskyttelsen af de personoplysninger, der behandles.
Du kan her læse mere om konsekvensanalyser, og hvordan vi kan hjælpe dig
Datatilsynet: Kommunerne har ikke nedbragt risici
Tilsynet omfattede også en undersøgelse af kommunernes risikovurderinger. Her fik alle fem kommuner enten kritik eller alvorlig kritik.
I afgørelserne påpeger Datatilsynet desuden, at risikovurderingerne ikke kunne påvise, at kommunerne havde identificeret og nedbragt de risici, som behandling af personoplysninger i AULA medfører. Derudover havde kommunerne heller ikke identificeret og implementeret relevante foranstaltninger.
Datatilsynet bemærker i denne forbindelse, at en stor del af de anmeldelser, Datatilsynet modtager om brug af AULA, vedrører fejlfremsendte personoplysninger til en eller flere modtagere i AULA. Datatilsynet henviser derfor kommunerne til at undersøge mulighederne for at mindske risikoen ved at indføre tekniske foranstaltninger.
Opfordrer alle kommuner til at samarbejde om fælles konsekvensanalyse
Datatilsynet oplyser, at de i et brev til KL, KOMBIT (kommunernes IT-fællesskab) og Styrelsen for IT og Læring, har formuleret nogle anbefalinger om det videre arbejde med behandlingssikkerheden i AULA, herunder bl.a. at KOMBIT sammen med kommunerne bør undersøge muligheden for at gennemføre foranstaltninger med henblik på at mindske risikoen ved fejlfremsendelser.
Datatilsynet opfordrer i brevet også alle kommuner i et samarbejde med KOMBIT til at udarbejde en fælles konsekvensanalyse for behandling af personoplysninger i AULA.
HjulmandKaptains bemærkninger til afgørelserne
Tilbage i 2018, hvor databeskyttelsesforordningen trådte i kraft, var der lagt op til, at der kun skulle udarbejdes konsekvensanalyser i få tilfælde. Det er dog HjulmandKaptains vurdering, at praksis hos Datatilsynet nu viser, at der i mange flere tilfælde skal udarbejdes konsekvensanalyser, end det faktisk har været tilfældet indtil nu. Netop dette bekræfter afgørelserne om AULA.
Konsekvensen vægtes over risikoen
Afgørelserne vedrørende AULA viser, at særligt den omstændighed, at der behandles følsomme og fortrolige personoplysninger om børn, kræver, at der udarbejdes en konsekvensanalyse.
Derudover er det også væsentligt at bemærke, at der er krav om udarbejdelse af en konsekvensanalyse i alle tilfælde, hvor konsekvensen vurderes at være alvorlig og dermed på den højeste skala, uanset om sandsynligheden er lav. Det betyder, at selvom der blot er en relativ lav sandsynlighed for, at en alvorlig konsekvens vil realiseres, så er du forpligtet til at udarbejde en konsekvensanalyse.
Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig
Er du i tvivl, om din organisation bør udarbejde en konsekvensanalyse for at leve op til kravene om beskyttelse af personoplysninger, så er du altid velkommen til at kontakte HjulmandKaptains specialister i databeskyttelse for sparring og rådgivning.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.