privatliv

Kommunale hjemmesider sladrer uden tilladelse

3. september 2017

Kun tre kommuner har sørget for at indgå lovpligtige aftaler med de firmaer, der opsamler statistik, når nogen besøger deres hjemmeside. Bekymrende, siger Datatilsynet. 

En ip-adresse er en personhenførbar oplysning, afgjorde EU-Domstolen sidste år. Derfor må kommunerne ikke sende folks ip-adresse videre uden en aftale om, hvad den må bruges til. Foto: Alex Williamson / Polfoto

Af Jens Holm
Journalist
Af Jens Holm
Journalist

Næsten alle danske kommuner sender borgernes personhenførbare oplysninger videre til tredjeparts-virksomheder uden at ane, hvad virksomhederne gør med oplysningerne efterfølgende.

Det viser aktindsigt i de databehandleraftaler, som kommunerne burde have indgået med it-giganten Google eller virksomheden Siteimprove, som kommunerne giver personhenførbare oplysninger til, når borgerne besøger deres hjemmesider.

Kun København, Bornholm og Brøndby har indgået databehandleraftaler, viser aktindsigterne, mens 86 kommuner bryder persondataloven, fastslår den tilsynsførende myndighed på området, Datatilsynet, der beskriver omfanget som ”bekymrende”.

Efter Kommunens anmodning om aktindsigt har mange kommuner dog valgt at indgå aftaler.

Netop manglende databehandleraftaler har ellers været et fokuspunkt for 16 kommuner og KL, der alle fik et tilsynsbesøg af Datatilsynet i 2016 og 2017.

Efter alle tilsyn har Datatilsynet kritiseret eller fundet det beklageligt, at kommunerne og KL ikke havde sørget for at indgå databehandleraftaler med diverse leverandører.

Borgernes data betaler

Kommunen har besøgt alle kommunernes hjemmesider for at kortlægge, hvilke webstatistik-databehandlere hver enkelt kommune selv vælger at sende borgernes data til.

48 kommuner sender deres besøgendes oplysninger videre til den amerikanske it-gigant Google, som er leverandør af værktøjet Google Analytics.

”Google Analytics er et gratis produkt målt på kroner og øre, men Google er jo ikke en filantropisk virksomhed, og det gør jo, at de må have en anden indtjening på produktet.”

Jesper Lund, formand for IT-Politisk Forening
 66 kommuner har valgt at sende oplysninger videre til den internationale analysevirksomhed Siteimprove, der har sit hovedkontor i København.

– Google får oplysninger om din ip-adresse, hvor længe du befinder dig på siden, hvilke undersider du besøger, dine bevægelser med musen, hvilken webside du kom fra, og hvilken webside du besøger efterfølgende. Alle de informationer kan jo bruges til at sammensætte en profil af dig som person ved at sammenkøre data fra andre Google-tjenester eller andre websider, som også benytter sig af Google Analytics, forklarer Jesper Lund, der er formand hos IT-Politisk Forening, der har som erklæret mål at beskytte borgernes privatliv og rettigheder i informationssamfundet.

Netop den besøgendes ip-adresse er essentiel, fordi den ifølge en dom fra EU-domstolen fra efteråret 2016 er en personhenførbar oplysning.

– Google Analytics er et gratis produkt målt på kroner og øre, men Google er jo ikke en filantropisk virksomhed, og det gør jo, at de må have en anden indtjening på produktet. Indtjeningen for Google består i modtagelsen af oplysninger om de besøgende, forklarer Jesper Lund.

27 kommuner har endda valgt at sende oplysningerne videre til både Google Analytics og Siteimprove, viser gennemgangen af hjemmesiderne.

Problemet er ifølge Jesper Lund, at kommunerne ikke har indblik i, hvad leverandørerne bruger borgernes data til.

– Registrering af internetadfærd med henblik på, at reklamer målrettes folk med en bestemt profil, er det primære misbrugsscenarie, siger Jesper Lund.

Tilsyn: Loven overtrædes

I Danmark er det den uafhængige myndighed Datatilsynet, der fører tilsyn med, at reglerne i persondataloven overholdes. Fra Datatilsynets side er reaktionen på de manglende aftaler helt utvetydig: Det er ulovligt, hvis der er tale om en databehandlerkonstruktion, hvor kommunerne er dataansvarlige.

Hvorfor er det nødvendigt, at kommunerne har underskrevet databehandleraftaler med leverandører af webstatistik?

– Det er nødvendigt, fordi det står i loven, at de skal have det. Formålet med det er selvfølgelig at give databehandleren en ordentlig instruks, så firmaet ikke gør noget med borgernes oplysninger, som kommunerne ikke har bedt databehandleren om, forklarer Jesper Husmer Vang, kontorchef i Datatilsynet.

Hvis kommunerne ikke har en databehandleraftale med analyse-leverandøren, bryder kommunerne så loven?

– Ja, det gør de, fastslår han.

Kommunens aktindsigter viser, at 48 kommuner bryder persondataloven ved at mangle gyldige databehandleraftaler med Google, mens 63 heller ikke har databehandleraftaler med Siteimprove. I alt 86 kommuner bryder ifølge Datatilsynet persondataloven.

Google: Underskriv vores aftale

Efter Kommunens anmodning om aktindsigt af den 10. august har mange kommuner dog efterfølgende valgt at underskrive databehandleraftaler med virksomheden Siteimprove.

Derimod er det ikke lykkedes nogen at få Google til at underskrive den databehandleraftale-skabelon fra KL og Kombit, som mange kommuner bruger som standardaftale. Kommunerne kan i stedet skrive under på Googles egen udvidede udvidede databehandleraftale til Google Analytics.

Jesper Lund mener dog, at punktet i Googles aftale, der indeholder den vigtige formulering om, at Google kun handler på instruks fra den dataansvarlige (punkt 5.2), bliver udvandet af punkt 5.3 i samme aftale.

“Jeg mener, at afsnit 5.3 giver Google rettigheder, der ligger ud over, hvad der kan ligge i en gyldig databehandleraftale,” siger han.

Google er uenig og fastholder, at firmaets aftale lever op til alle krav.

“Vi har gjort det så nemt som muligt at indgå en databehandleraftale vedrørende brugen af Google Analytics. Ikke kun i Danmark men i hele EU. Det kan gøres med et enkelt klik. Det betyder så samtidig, at vi ikke indgår individuelle aftaler, men altså tilbyder en nem og tilgængelig standardaftale, som er i komplet overensstemmelse med dansk og europæisk lovgivning på området,” siger Mark Janssen, kommunikationschef for Google i Nordeuropa.

Mange gode forklaringer

For mange kommuner lyder forklaringen på de manglende aftaler, at de simpelthen ikke var opmærksomme på, at en databehandleraftale var påkrævet.

Det forhold er også gældende for mange af de kommuner, som så sent som i efteråret modtog kritik fra Datatilsynet netop for manglende databehandleraftaler.

”Det er nødvendigt, fordi det står i loven, at de skal have det. Formålet med det er selvfølgelig at give databehandleren en ordentlig instruks, så firmaet ikke gør noget med borgernes oplysninger, som kommunerne ikke har bedt databehandleren om.”

Jesper Husmer Vang, kontorchef i Datatilsynet
 Det bekræfter den tendens, vi så ved vores tilsyn i efteråret. Hvis det drejer sig om de samme kommuner, som vi havde fat på i efteråret, så synes jeg, at det er bekymrende, at de ikke engang har overvejet at få lavet en databehandleraftale med Google eller de andre leverandører, siger Jesper Husmer Vang.

En af de kommuner er Kerteminde Kommune, som ikke har indgået databehandleraftale med Siteimprove.

– Kerteminde Kommune er først nu blevet opmærksom på behovet for en databehandleraftale med den pågældende leverandør, skriver Dennis Harris, der er ansvarlig for informationssikkerhed i Kerteminde.

Hos andre kommuner er puklen med manglende databehandleraftaler stor, og aftalerne med webstatistik-firmaer er placeret langt nede i bunken.

– Vi prioriterer selvfølgelig indsatsen, og her har analyseværktøjer på ip-numre ikke stået øverst på listen, men vi er selvfølgelig klar over, at hvis vi skal følge lovteksten 100 procent, så skal der foreligge en aftale, fortæller Morten Alm, it-chef i Assens.

Nogle kommuner har også været forvirrede over, om eksempelvis Google overhovedet skulle betragtes som en databehandler.

– Det er Albertslund Kommunes vurdering, at Google Analytics er dataansvarlig, og derfor er vi ikke forpligtet til at indgå en databehandleraftale, skrev Albertslund i sit første svar på aktindsigten.

Efterfølgende vendte kommunen dog 180 grader.

– Vi har nu været i dialog med Datatilsynet […] Vi er dataansvarlig, og Google Analytics er databehandler, og der skal derfor indgås en databehandleraftale, vurderer Albertslund i et svar.

Læs også: Her har de styr på data

Ingen økonomisk straf

Det får dog ikke økonomiske konsekvenser for kommunerne, at aftalerne mangler. Det værste, der kan ske, er, at Datatilsynet udtrykker kritik af kommunen på sin hjemmeside.

– Offentlige myndigheder kan ikke straffes for at overtræde loven, siger Jesper Husmer Vang og fortsætter:

– Da vi i efteråret konstaterede, at der manglede databehandleraftaler i alle de kommuner, vi førte tilsyn med, resulterede det i, at vi udtalte kritik af kommunerne på vores hjemmeside.

Der kan dog være udsigt til ændringer. EU har vedtaget en ny persondataforordning, der skal træde i kraft i Danmark den 25. maj 2018.

Men selvom Justitsministeriet har taget stilling til, at private virksomheder skal kunne straffes med bøder, så er offentlige myndigheder ikke nævnt  i udkastet.

– For nærværende er der kun lagt op til, at spørgsmålet skal drøftes ved de politiske forhandlinger, der kommer her i efteråret, fortæller Jesper Husmer Vang og afslutter:

– I efteråret fortalte vi kommunerne, at de skulle være glade for, at tilsynet kom nu, for om et år kan forordningen betyde, at de ville have fået en kæmpe bøde for manglende aftaler.

Korrektion: I denne artikel kaldte vi i første omgang de oplysninger, som kommunerne ulovligt videresender til fx Google, for personfølsomme. Det rigtige ord er personhenførbare, hvilket vi nu har rettet til. I første udgave skrev vi også, at kun Bornholm og København havde aftaler, da vi bad om aktindsigt. Det havde Brøndby imidlertid også, men vi fejllæste datoen i aktindsigten. Så det er ikke 87, men 86 kommuner, der manglede en aftale.

Præcisering: I en tidligere version af artiklen skrev vi, at det ikke var muligt at indgå gyldige databehandleraftaler med Google. Det er nu ændret til, at Jesper Lund fra IT-Politisk Forening mener, at Googles aftale er ugyldig. Desuden lægger Googles nordiske kommunikationschef nu navn til det citat, vi havde fået fra firmaets danske pr-firma Geelmuyden Kiese.

It

Har du en kommentar?

avatar
Sorter efter:   nyeste | ældste | flest stemmer
IPKUNDE 14095

IP-adresseoplysninger er personhenførbare data. Der er forskel på almindelige persondata og følsomme data. Følsomme data er oplysninger om diagnoser, fagforeningsforhold, politisk og sexuel observans osv. Ting der opfattes som private. En IP-adresseoplysninger falder efter min vurdering IKKE ind under følsomme oplysninger, hvorfor artiklen efter min holdning overdriver og bruger et forkert begreb for at give mere journalistisk pondus end der egentlig er tale om. Jeg er selvfølgelig enig med at persondataloven ikke overholdes når der ikke er databehandleraftaler.

Jens Holm

Kære Morten. Det er godt set. Tak fordi du læser med, og fordi du tager dig tid til at kommentere. Vi har rettet ordet.

IPKUNDE 14095

tak Jens – rigtig godt at der bliver klarhed over begreberne.

Jacob Christian Munch-Andersen
Jacob Christian Munch-Andersen

Hvad med de kommunale institutioners hjemmesider? Skal de ikke også overholde samme lov? Og er der nogen som tjekker dette?

IP2
IP2

Har kommunen.dk en databehandleraftele med google?

Anni Kristensen

Hej IP2. Skarpt spørgsmål. Nej, og af samme grund har vi valgt at deaktivere Google Analytics.

IPKUNDE 14095
Jeg har i dag fået nedenstående fra KLs Dialogportal https://dialog.kl.dk/ Det kunne være interessant at få en kommentar til. mvh Peder Pernille Jørgensen, Chefkonsulent i KL skrev den 04. sep 2017, kl 15.33: Databehandleraftaler med “de store” Kære alle, Der har i dag været en artikel i Kommunen, hvor kommunerne bliver hængt ud for ikke at have indgået databehandleraftaler med firmaer, der udarbejder statistik over besøgene på de kommunale hjemmesider: https://kommunen.dk/kommunale-hjemmesider-sladrer-uden-tilladelse/ Kontorchef i Datatilsynet, Jesper Husmer Vang, citeres for at sige, at kommunerne ikke overholder loven, hvis de ikke indgår databehandleraftaler med deres webstatistik-leverandører. Jeg har derfor i dag ringet… Læs mere »
wpDiscuz

Chef til ny benchmarkingenhed

Økonomi- og Indenrigsministeriet søger en engageret og analytisk stærk leder med samfundsvidenskabelig baggrund til kommende benchmarkingenhed.

Teamleder med psykologfaglig baggrund til Sundhed og Forebyggelse

Har du lyst til og erfaring med ledelse? Er du klar til at være ny kollega i ledelsesteamet i Sundhed og Forebyggelse (SoF)?

Sekretariatsleder i Direktionssekretariatet

Stærk ledelsesprofil til at stå i spidsen for Direktionssekretariatet i Faxe Kommune

Leder til Budget og Analyse

Kan du lede drift og udvikling af fremtidens kommunale økonomistyring? I Fredericia Kommune er vi overbeviste om, at god økonomistyring er afgørende for kommunal vækst og velfærd, og det står derfor højt på den lokalpolitiske dagsorden. Vi har styr på økonomien, og det er også lykkedes os at skabe et økonomisk råderum til politisk prioritering ... Læs mere

Centerleder til Misbrug & Udsatte området

Center for Misbrug & Udsatte området i Esbjerg Kommune søger ny centerleder pr. 1. november 2017

Leder til Byggesag og ejendomsskat

Vi har travlt og er i centrum af udviklingen. Vi har brug for den helt rigtige leder til at stå i spidsen for vores hold af dygtige og engagerede medarbejdere

Analysestærk økonomikonsulent

Solrød Kommune skal stå stærkere på effektiviserings- og styringsdagsordenen, og vi har derfor brug for en økonomikonsulent mere. Kan du lide at udvikle økonomisk styring, men samtidig være forankret i den normale drift, så vil du være et godt bud på vores nye økonomikonsulent

Konsulent til kontrolenhed

Kan du acceptere snyd med sociale ydelser?

2 Økonomikonsulenter

Esbjerg Kommune søger 1 økonomikonsulent der brænder for: Budgetlægning og økonomistyring Regnskab og økonomistyring

Stabschef til Ældre- og Handicapforvaltningen

Har du mod på faglig udvikling uden at gå på kompromis med sikker drift? Er dit perspektiv strategisk og helhedsorienteret? Vil du arbejde med politisk effektstyring? Så er du måske Ældre- og Handicapforvaltningens (ÆHF) nye stabschef for økonomi og HR!
Share26
Tweet
Share
+1
Email