En række danske kommuner bryder loven ved ikke at sikre sig, at borgeres personfølsomme oplysninger beskyttes.
Knap halvdelen af landets kommuner har ikke styr på datasikkerheden, når der skal udstedes pas.
Det viser en række aktindsigter som DR Nyheder har fået.
Blandt landets 98 kommuner er der således i mindst 41 tilfælde ikke indgået en lovpligtig databehandleraftale med den leverandør, der hjælper med at udarbejde passene.
Det betyder, at der i disse kommuner ikke er garanti for, at personfølsomme oplysninger som for eksempel cpr-numre, fingeraftryk og pasfoto bliver behandlet sikkert.
– Det er selvfølgelig ikke i orden. Det er nogle af vores allermest kritiske data. Pasoplysninger kan bruges som adgang til rigtig mange ting, hvis de kommer i de forkerte hænder, derfor skal man have en aftale, der beskytter de data, siger Rasmus Theede, som er formand for Rådet for Digital Sikkerhed.
På landets borgerservicecentre bliver der dagligt udstedt tusindvis af pas, og i den forbindelse har størstedelen af kommunerne ansat eksterne leverandører til at hjælpe sig.
Man har tilsyneladende bare glemt at få lavet en databehandleraftale, som forpligter de private leverandører af pas til at behandle persondata fortroligt, viser en rundringning, som DR Nyheder har lavet.
Og det er et brud på persondataloven.
En af de kommuner, der ikke har fået lavet en databehandleraftale, men som efter DR Nyheders henvendelse nu arbejder på at få det, er Ishøj Kommune.
– Der må vi blankt erkende, at det er en klar fejl fra vores side. Vi skal jo sikre borgerne mod eventuelt misbrug, og det vil vi selvfølgelig følge op på hurtigst muligt og få lavet sådan en databehandleraftale, siger Claes Jakobsen, som er afdelingsleder i Ishøj Kommunes Borgerservice.
Der er i alt tre firmaer, der leverer pas til kommunerne; Kube Data, Scantech Sikkerhedssystemer og Biometric.
I samtlige af de kommuner, der benytter sig af Biometric, er der skrevet under på en databehandlingsaftale, viser aktindsigten. Men et andet billede tegner sig for de to andre firmaer.
Det er kritisk, siger Rasmus Theede, selvom det endnu ikke er afsløret, hvorvidt der overhovedet har været brud på sikkerheden.
– Lovgivningen er til for at blive overholdt, og det har kommunerne ansvar for, siger han og fortsætter:
– Men der er også mange kommuner, der er i tvivl om, hvorvidt de skal lave dem (databehandleraftaler, red.), og hvad de skal indeholde. Det kræver bedre rådgivning.
Kun 27 af de 71 kommuner, der har svaret på DR Nyheders aktindsigt, havde databehandleraftaler, da vi kontaktede dem.
Syv har fået det efterfølgende, mens flere arbejder på at få det.
Men selvom det er kommunernes ansvar at overholde lovgivningen, så har Datatilsynet også et ansvar, påpeger Rasmus Theede. Det er nemlig deres opgave at holde tilsyn med om datasikkerheden er i orden.
Det erkender Datatilsynets kontorchef, Lene Andersen:
– Vi gør, alt hvad vi kan, med det, vi har at gøre godt med. Men de informationer, der nu er gravet frem, dem kommer vi til at bruge, når vi skal lave tilsyn i den nærmeste fremtid, siger hun.
Spørgsmål: Skal man være bekymret, når kommunerne ikke har lavet databehandleraftaler?
– Ja, jeg synes, man skal være bekymret, når loven ikke bliver overholdt, og kommunerne måske ikke engang er opmærksomme på, at der er sådan nogle regler.
Reglerne blev indført med databehandleraftalerne i 2000.
