Politik fra rødderne
En ip-adresse er en personhenførbar oplysning, afgjorde EU-Domstolen sidste år. Derfor må kommunerne ikke sende folks ip-adresse videre uden en aftale om, hvad den må bruges til. Foto: Alex Williamson / Polfoto

Kommunale hjemmesider sladrer uden tilladelse

Kun tre kommuner har sørget for at indgå lovpligtige aftaler med de firmaer, der opsamler statistik, når nogen besøger deres hjemmeside. Bekymrende, siger Datatilsynet. 

 privatliv

Af Jens Holm | jens@kommunen.dk

Lige nu er der fri adgang til kommunen.dks artikler, blogs og kronikker.
God fornøjelse, vi håber du sætter pris på det :)

Næsten alle danske kommuner sender borgernes personhenførbare oplysninger videre til tredjeparts-virksomheder uden at ane, hvad virksomhederne gør med oplysningerne efterfølgende.

Det viser aktindsigt i de databehandleraftaler, som kommunerne burde have indgået med it-giganten Google eller virksomheden Siteimprove, som kommunerne giver personhenførbare oplysninger til, når borgerne besøger deres hjemmesider.

Kun København, Bornholm og Brøndby har indgået databehandleraftaler, viser aktindsigterne, mens 86 kommuner bryder persondataloven, fastslår den tilsynsførende myndighed på området, Datatilsynet, der beskriver omfanget som ”bekymrende”.

Efter Kommunens anmodning om aktindsigt har mange kommuner dog valgt at indgå aftaler.

Netop manglende databehandleraftaler har ellers været et fokuspunkt for 16 kommuner og KL, der alle fik et tilsynsbesøg af Datatilsynet i 2016 og 2017.

Efter alle tilsyn har Datatilsynet kritiseret eller fundet det beklageligt, at kommunerne og KL ikke havde sørget for at indgå databehandleraftaler med diverse leverandører.

Borgernes data betaler

Kommunen har besøgt alle kommunernes hjemmesider for at kortlægge, hvilke webstatistik-databehandlere hver enkelt kommune selv vælger at sende borgernes data til.

48 kommuner sender deres besøgendes oplysninger videre til den amerikanske it-gigant Google, som er leverandør af værktøjet Google Analytics.

”Google Analytics er et gratis produkt målt på kroner og øre, men Google er jo ikke en filantropisk virksomhed, og det gør jo, at de må have en anden indtjening på produktet.”

 66 kommuner har valgt at sende oplysninger videre til den internationale analysevirksomhed Siteimprove, der har sit hovedkontor i København.

- Google får oplysninger om din ip-adresse, hvor længe du befinder dig på siden, hvilke undersider du besøger, dine bevægelser med musen, hvilken webside du kom fra, og hvilken webside du besøger efterfølgende. Alle de informationer kan jo bruges til at sammensætte en profil af dig som person ved at sammenkøre data fra andre Google-tjenester eller andre websider, som også benytter sig af Google Analytics, forklarer Jesper Lund, der er formand hos IT-Politisk Forening, der har som erklæret mål at beskytte borgernes privatliv og rettigheder i informationssamfundet.

Netop den besøgendes ip-adresse er essentiel, fordi den ifølge en dom fra EU-domstolen fra efteråret 2016 er en personhenførbar oplysning.

- Google Analytics er et gratis produkt målt på kroner og øre, men Google er jo ikke en filantropisk virksomhed, og det gør jo, at de må have en anden indtjening på produktet. Indtjeningen for Google består i modtagelsen af oplysninger om de besøgende, forklarer Jesper Lund.

27 kommuner har endda valgt at sende oplysningerne videre til både Google Analytics og Siteimprove, viser gennemgangen af hjemmesiderne.

Problemet er ifølge Jesper Lund, at kommunerne ikke har indblik i, hvad leverandørerne bruger borgernes data til.

- Registrering af internetadfærd med henblik på, at reklamer målrettes folk med en bestemt profil, er det primære misbrugsscenarie, siger Jesper Lund.

Tilsyn: Loven overtrædes

I Danmark er det den uafhængige myndighed Datatilsynet, der fører tilsyn med, at reglerne i persondataloven overholdes. Fra Datatilsynets side er reaktionen på de manglende aftaler helt utvetydig: Det er ulovligt, hvis der er tale om en databehandlerkonstruktion, hvor kommunerne er dataansvarlige.

Hvorfor er det nødvendigt, at kommunerne har underskrevet databehandleraftaler med leverandører af webstatistik?

- Det er nødvendigt, fordi det står i loven, at de skal have det. Formålet med det er selvfølgelig at give databehandleren en ordentlig instruks, så firmaet ikke gør noget med borgernes oplysninger, som kommunerne ikke har bedt databehandleren om, forklarer Jesper Husmer Vang, kontorchef i Datatilsynet.

Hvis kommunerne ikke har en databehandleraftale med analyse-leverandøren, bryder kommunerne så loven?

- Ja, det gør de, fastslår han.

Kommunens aktindsigter viser, at 48 kommuner bryder persondataloven ved at mangle gyldige databehandleraftaler med Google, mens 63 heller ikke har databehandleraftaler med Siteimprove. I alt 86 kommuner bryder ifølge Datatilsynet persondataloven.

Google: Underskriv vores aftale

Efter Kommunens anmodning om aktindsigt af den 10. august har mange kommuner dog efterfølgende valgt at underskrive databehandleraftaler med virksomheden Siteimprove.

Derimod er det ikke lykkedes nogen at få Google til at underskrive den databehandleraftale-skabelon fra KL og Kombit, som mange kommuner bruger som standardaftale. Kommunerne kan i stedet skrive under på Googles egen udvidede udvidede databehandleraftale til Google Analytics.

Jesper Lund mener dog, at punktet i Googles aftale, der indeholder den vigtige formulering om, at Google kun handler på instruks fra den dataansvarlige (punkt 5.2), bliver udvandet af punkt 5.3 i samme aftale.

"Jeg mener, at afsnit 5.3 giver Google rettigheder, der ligger ud over, hvad der kan ligge i en gyldig databehandleraftale," siger han.

Google er uenig og fastholder, at firmaets aftale lever op til alle krav.

“Vi har gjort det så nemt som muligt at indgå en databehandleraftale vedrørende brugen af Google Analytics. Ikke kun i Danmark men i hele EU. Det kan gøres med et enkelt klik. Det betyder så samtidig, at vi ikke indgår individuelle aftaler, men altså tilbyder en nem og tilgængelig standardaftale, som er i komplet overensstemmelse med dansk og europæisk lovgivning på området,” siger Mark Janssen, kommunikationschef for Google i Nordeuropa.

Mange gode forklaringer

For mange kommuner lyder forklaringen på de manglende aftaler, at de simpelthen ikke var opmærksomme på, at en databehandleraftale var påkrævet.

Det forhold er også gældende for mange af de kommuner, som så sent som i efteråret modtog kritik fra Datatilsynet netop for manglende databehandleraftaler.

”Det er nødvendigt, fordi det står i loven, at de skal have det. Formålet med det er selvfølgelig at give databehandleren en ordentlig instruks, så firmaet ikke gør noget med borgernes oplysninger, som kommunerne ikke har bedt databehandleren om.”

 Det bekræfter den tendens, vi så ved vores tilsyn i efteråret. Hvis det drejer sig om de samme kommuner, som vi havde fat på i efteråret, så synes jeg, at det er bekymrende, at de ikke engang har overvejet at få lavet en databehandleraftale med Google eller de andre leverandører, siger Jesper Husmer Vang.

En af de kommuner er Kerteminde Kommune, som ikke har indgået databehandleraftale med Siteimprove.

- Kerteminde Kommune er først nu blevet opmærksom på behovet for en databehandleraftale med den pågældende leverandør, skriver Dennis Harris, der er ansvarlig for informationssikkerhed i Kerteminde.

Hos andre kommuner er puklen med manglende databehandleraftaler stor, og aftalerne med webstatistik-firmaer er placeret langt nede i bunken.

- Vi prioriterer selvfølgelig indsatsen, og her har analyseværktøjer på ip-numre ikke stået øverst på listen, men vi er selvfølgelig klar over, at hvis vi skal følge lovteksten 100 procent, så skal der foreligge en aftale, fortæller Morten Alm, it-chef i Assens.

Nogle kommuner har også været forvirrede over, om eksempelvis Google overhovedet skulle betragtes som en databehandler.

- Det er Albertslund Kommunes vurdering, at Google Analytics er dataansvarlig, og derfor er vi ikke forpligtet til at indgå en databehandleraftale, skrev Albertslund i sit første svar på aktindsigten.

Efterfølgende vendte kommunen dog 180 grader.

- Vi har nu været i dialog med Datatilsynet [...] Vi er dataansvarlig, og Google Analytics er databehandler, og der skal derfor indgås en databehandleraftale, vurderer Albertslund i et svar.

Læs også: Her har de styr på data

Ingen økonomisk straf

Det får dog ikke økonomiske konsekvenser for kommunerne, at aftalerne mangler. Det værste, der kan ske, er, at Datatilsynet udtrykker kritik af kommunen på sin hjemmeside.

- Offentlige myndigheder kan ikke straffes for at overtræde loven, siger Jesper Husmer Vang og fortsætter:

- Da vi i efteråret konstaterede, at der manglede databehandleraftaler i alle de kommuner, vi førte tilsyn med, resulterede det i, at vi udtalte kritik af kommunerne på vores hjemmeside.

Der kan dog være udsigt til ændringer. EU har vedtaget en ny persondataforordning, der skal træde i kraft i Danmark den 25. maj 2018.

Men selvom Justitsministeriet har taget stilling til, at private virksomheder skal kunne straffes med bøder, så er offentlige myndigheder ikke nævnt  i udkastet.

- For nærværende er der kun lagt op til, at spørgsmålet skal drøftes ved de politiske forhandlinger, der kommer her i efteråret, fortæller Jesper Husmer Vang og afslutter:

- I efteråret fortalte vi kommunerne, at de skulle være glade for, at tilsynet kom nu, for om et år kan forordningen betyde, at de ville have fået en kæmpe bøde for manglende aftaler.

Korrektion: I denne artikel kaldte vi i første omgang de oplysninger, som kommunerne ulovligt videresender til fx Google, for personfølsomme. Det rigtige ord er personhenførbare, hvilket vi nu har rettet til. I første udgave skrev vi også, at kun Bornholm og København havde aftaler, da vi bad om aktindsigt. Det havde Brøndby imidlertid også, men vi fejllæste datoen i aktindsigten. Så det er ikke 87, men 86 kommuner, der manglede en aftale.

Præcisering: I en tidligere version af artiklen skrev vi, at det ikke var muligt at indgå gyldige databehandleraftaler med Google. Det er nu ændret til, at Jesper Lund fra IT-Politisk Forening mener, at Googles aftale er ugyldig. Desuden lægger Googles nordiske kommunikationschef nu navn til det citat, vi havde fået fra firmaets danske pr-firma Geelmuyden Kiese.


Kommentarer

Du skal enten være logget ind, eller tilknyttet en IP-aftale for at kunne kommentere.


Tak for dit svar. Jeg oplever det lidt som om der er forskellige "generationer" af reflektioner, og afgørelser lynhurtigt er forældede. I Aarhus Kommune, hvor jeg arbejder, vil vi forsøge at undgå at "lappe huller" rundt omkring. I de kommende år bliver der mere og mere digitalt samarbejde mellem kommune og civilsamfund, og så er der for alvor brug for gode datapolitikker.

IPKUNDE 14095, 15. sep 2017


Kære Peder Tak for din kommentar. -- -- -- Vedr. fejlcitering: Alle citater fra Jesper Husmer, der indgår i denne artikel, stammer fra et båndet telefoninterview, og citaterne er et helt nøjagtigt referat af, hvad Jesper siger til mig. Blandt andet dette: Spørgsmål: Hvorfor er det nødvendigt, at kommunerne har underskrevet databehandleraftaler med leverandører af webstatistik? – Det er nødvendigt, fordi det står i loven, at de skal have det. Formålet med det er selvfølgelig at give databehandleren en ordentlig instruks, så firmaet ikke gør noget med borgernes oplysninger, som kommunerne ikke har bedt databehandleren om, forklarer Jesper Husmer Vang, kontorchef i Datatilsynet. Spørgsmål: Hvis kommunerne ikke har en databehandleraftale med analyse-leverandøren, bryder kommunerne så loven? – Ja, det gør de, fastslår han. -- -- -- Vedr. KL's reference til Datatilsynets afgørelse fra 2007, der er baseret på et brev vedr. "e-post" fra 2004. Den pågældende afgørelse, som KL, ifølge dig, refererer til på sin egen interne "Dialogportal", er ikke blevet fremhævet over for mig af Datatilsynet i forbindelse med interview. Jeg henholder mig til, hvad den tilsynsførende myndighed på området, Datatilsynet, siger til mig, se ovennævnte citater. Siden 2007 har EU-domstolen afgjort i efteråret 2016, at ip-adresser er en personoplysning. Det betyder, at kommunerne sender besøgendes personoplysninger videre til henholdsvis Google Analytics og Siteimprove, når kommunerne selv implementerer de koder fra virksomhederne fra virksomhederne på deres egne hjemmesider. Med venlig hilsen Jens Holm

Jens Holm, 15. sep 2017


Jeg har i dag fået nedenstående fra KLs Dialogportal https://dialog.kl.dk/ Det kunne være interessant at få en kommentar til. mvh Peder Pernille Jørgensen, Chefkonsulent i KL skrev den 04. sep 2017, kl 15.33: Databehandleraftaler med "de store" Kære alle, Der har i dag været en artikel i Kommunen, hvor kommunerne bliver hængt ud for ikke at have indgået databehandleraftaler med firmaer, der udarbejder statistik over besøgene på de kommunale hjemmesider: https://kommunen.dk/kommunale-hjemmesider-sladrer-uden-tilladelse/ Kontorchef i Datatilsynet, Jesper Husmer Vang, citeres for at sige, at kommunerne ikke overholder loven, hvis de ikke indgår databehandleraftaler med deres webstatistik-leverandører. Jeg har derfor i dag ringet til Jesper Husmer Vang, da dette ikke er i overensstemmelse med deres egen praksis: https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/indsamling-af-oplysninger-om-internetbrugere-paa-it-og-telestyrelsens-hjemmeside/ Han mener sig fejlciteret og har bedt journalisten om at ændre artiklen. Man skal kun indgå databehandleraftaler om data, som man er dataansvarlig for. Afgørelsen fra Datatilsynet peger på, at man ikke er dataansvarlig for statistikdata, som en ekstern leverandør opsamler. Jesper Husmer understreger dog, at det altid er en konkret vurdering. Indgår man "unødvendige" databehandler, skal man være opmærksom på, at man risikerer at påtage sig et unødvendigt dataansvar - og den reelle dataansvarliges ansvar bliver uklart. Venlig hilsen Pernille Jørgensen

IPKUNDE 14095, 15. sep 2017


Hej IP2. Skarpt spørgsmål. Nej, og af samme grund har vi valgt at deaktivere Google Analytics.

Anni Kristensen, 5. sep 2017


Har kommunen.dk en databehandleraftele med google?

IP2, 5. sep 2017


Hvad med de kommunale institutioners hjemmesider? Skal de ikke også overholde samme lov? Og er der nogen som tjekker dette?

Jacob Christian Munch-Andersen, 4. sep 2017


tak Jens - rigtig godt at der bliver klarhed over begreberne.

IPKUNDE 14095, 4. sep 2017


Kære Morten. Det er godt set. Tak fordi du læser med, og fordi du tager dig tid til at kommentere. Vi har rettet ordet.

Jens Holm, 4. sep 2017


IP-adresseoplysninger er personhenførbare data. Der er forskel på almindelige persondata og følsomme data. Følsomme data er oplysninger om diagnoser, fagforeningsforhold, politisk og sexuel observans osv. Ting der opfattes som private. En IP-adresseoplysninger falder efter min vurdering IKKE ind under følsomme oplysninger, hvorfor artiklen efter min holdning overdriver og bruger et forkert begreb for at give mere journalistisk pondus end der egentlig er tale om. Jeg er selvfølgelig enig med at persondataloven ikke overholdes når der ikke er databehandleraftaler.

IPKUNDE 14095, 4. sep 2017

It


© Kommunen ApS 2017  |  CVR: 31 88 59 57