Hvem behandler data? Og får de noget ud af at behandle den? Det er afgørende, når kommuner deler personoplysninger med private virksomheder.
Hvem behandler data? Og får de noget ud af at behandle den? Det er afgørende, når kommuner deler personoplysninger med private virksomheder.
Foto: Mehau Kulyk, Ritzau Scanpix

Stor usikkerhed i kommuner om databehandleraftaler

Hvad skal der egentlig stå i en databehandleraftale? Og skal man overhovedet have en? Det er svært at svare på, oplever flere kommuner.

Aftaleforvirring

Af Ronja Pilgaard | [email protected]

På langt størstedelen af kommunernes hjemmesider sidder et lille program og holder øje med, hvordan du bruger hjemmesiden, og hvad du søger på. 

Går de, der skal bruge tilskud til handicappede børn, ind via forsiden, eller finder de linket på google? Virker det at slå op på kommunens Facebook-side, at det er tid til at skrive sit barn op til daginstitution? Og hvor mange søger egentlig på misbrugsbehandling uden at kontakte kommunen?

Den slags vil kommuner gerne vide, og derfor har 83 af de 98 installeret såkaldte trackere på deres hjemmesider. Det viser en gennemgang af landets kommuners hjemmesiders kildekode, som kommunen.dk har foretaget i januar måned. 

Det kan være Google Analytics, eller det kan være Siteimprove Analytics. Det kan også være Monsido eller Piwik. Alle fire er programmer designet til at analysere data og lave statistik, så alle os med hjemmesider ved, hvordan vores hjemmesider klarer sig. 

Derudover er der en række andre programmer, som også tracker brugernes bevægelser. Det er blandt andet Google Translate, som 16 kommuner har installeret. 

Forvirring
En aktindsigt i kommunernes databehandleraftaler viser til gengæld, at der er stor forvirring blandt landets kommuner, når det kommer til, om der skal foreligge en databehandleraftale med de virksomheder, som behandler de her statistikker, som jo bygger på data om borgerne.

Nogle kommuner, som har Google Translate installeret på deres hjemmeside, har for eksempel databehandleraftaler med Google, mens Norddjurs Kommune oplyser til kommunen.dk, at KL har anbefalet ikke at indgå aftaler med techvirksomheden. 

Nyborg fortæller, at det er aftalt mellem kommunerne og KL, at kommunerne ikke selv hver især skal indgå databehandleraftaler med de store internationale virksomheder som fx Facebook og Google. Hos Skive oplyser kommunen, at de store databehandlingsvirksomheder som Google slet ikke vil indgå databehandleraftaler, og hos Høje Taastrup kom det noget bag på folk, at der sad en tracker fra Google på deres hjemmeside, for det havde de intet ønske om at have.

Og hos Guldborgsund fjernede kommunen straks alle trackere fra hjemmesiden, da kommunen.dk kontaktede dem, hvorefter de gik i gang med at undersøge, hvad der egentlig blev tracket. 

Ansvar eller ej
Men det er også lidt kringlet med de databehandleraftaler, kan man forstå, når man taler med Kenni Olsen. Han er fuldmægtig hos Datatilsynet, og han forklarer, at det hele kommer an på, om den, der behandler dataene, selv skal bruge dem til noget, eller de alene handler på vegne af kommunen:

- Det, der kendetegner forholdet mellem en databehandler og en dataansvarlig, er, at det er den dataansvarlige, der bestemmer, hvordan data må bruges, hvorfor data overhovedet må bruges, hvilke data der må bruges, og hvad en virksomhed må bruge til at behandle dataene med. Til gengæld er det så den dataansvarlige, der har ansvaret for, at dataene bliver behandlet inden for lovens rammer, siger Kenni Olsen. 

Men hvad nu, hvis den der behandler dataene, også har et formål med at behandle dem? Altså hvad hvis for eksempel SiteImprove bruger den data, de indsamler, til at sælge målrettede reklamer til nogle andre? Så er begge parter dataansvarlige, forklarer Kenni Olsen:

- Og hvis begge parter har dataansvar, skal man ikke indgå en databehandleraftale, for så er der jo ikke nogen, der handler på vegne af nogle andre. Så handler begge parter på vegne af sig selv. Derfor er det afgørende at få afklaret formålet med databehandlingen, så man ved, om kommunen er ansvarlig, og om leverandøren er databehandler, siger han.

På banen med de andre
Hos KL vil kontorchef for KL’s kontor for Digitalisering og Teknologi, Pia Færch, gerne gøre sit for at undgå flere misforståelser og forvirringer, når det kommer til databehandleraftaler. Hun slår derfor fast:

- KL opfordrer ikke til, at kommunerne undlader at indgå databehandleraftaler, siger hun og fortsætter:

- Techgiganterne, fx Facebook og Google, opererer imidlertid med standardvilkår, som kommunerne ikke har nogen mulighed for at gå i dialog med techgiganterne om for at sikre, at de bliver retvisende for aftalerne med de enkelte kommuner. 

KL ser derfor gerne, at Justitsministeriet og Datatilsynet kommer på banen for at hjælpe med at løse problemet. Det kan for eksempel være gennem nationale eller EU-krav til techfirmaerne, ‘såfremt de vil levere produkter og services til offentlige myndigheder og virksomheder,’ siger hun.

Sådan gjorde vi

Kommunen.dk har besøgt alle kommunernes hjemmesider for at kortlægge, hvilke webstatistik-databehandlere hver enkelt kommune selv vælger at sende borgernes data til.

18 kommuner bruger Google Analytics. Men også Google Translate, som 16 kommuner har installeret på deres hjemmesider, kan bruges til at kortlægge brugernes bevægelser på hjemmesider.

Ti kommuner har installeret programmet Google Tag Manager, som forsimplet sagt bruges til at gøre det lettere at ændre i en hjemmesides kildekode. Heri kan også ligge Google Analytics, uden at det har været synlig for kommunen.dk. 

75 kommuner anvender Siteimproves værktøjer til tracking. De fleste har her brugt den skabelonaftale, som Kombit og KL har udarbejdet til aftaler med Siteimprove.

Fredensborg og Rudersdal kommuner har ikke svaret på kommunen.dk’s aktindsigtsanmodning. Billund og Hillerød kommuner oplyser, at de ikke har nået at behandle aktindsigtsanmodningen i tide.

Indkøb

It

kv21-banner
Tilmeld dig nyhedsbrevet