I sidste måned fokuserede vi på Datatilsynets kritik af BroBizz, der havde anmeldt 3 tilfælde af brud på persondataloven og ikke haft tilstrækkelig awareness-træning. Men myndighederne, herunder Datatilsynet, er også selv underlagt tilsyn igennem Rigsrevisionen. Det gælder som sagt også Datatilsynet, som for nylig selv blev kritiseret af Rigsrevisionen bl.a. for deres opgaver omkring tilsyn og udarbejdelse af vejledninger.
Hvad var Rigsrevisionens kritik af Datatilsynet
Rigsrevision har gennemgået en lang række forhold omkring myndighedernes behandling af data, og du kan læse Rigsrevisionens bemærkninger her.
Der er en række bemærkninger til myndighedernes egen behandling af data, men der er også en række bemærkninger ift. deres arbejde omkring GDPR – både vejledninger og tilsyn.
Hvad er RigsrevisionenRigsrevisionen er en uafhængig institution under Folketinget og er en del af den parlamentariske kontrol i Danmark. Rigsrevisionen reviderer på vegne af Folketinget bl.a. regnskaber for offentligt finansierede virksomheder og efterprøver, om offentlige midler anvendes lovligt og effektivt. |
Særligt to bemærkninger fra Rigsrevisionen er interessante:
-
Væsentlige vejledninger fra Justitsministeriet og Finansministeriet udkom først efter myndighederne skulle have implementeret GDPR (databeskyttelsesforordningen).
-
Datatilsynet har ikke ført et risikobaseret tilsyn og har ikke opdateret sin strategi siden GDPR blev gældende i maj 2018. Datatilsynet har heller ikke gennemført de tilsyn hos offentlige myndigheder og private virksomheder, som var planlagt. Det har medført lav risiko for at blive opdaget i overtrædelser af reglerne om databeskyttelse
Her fremgår det altså, at Rigsrevisionen har vurderet, at Finansministreret (som Datatilsynet hører under) var for langsomme til at udgive de vejledninger, som de danske virksomheder skulle bruge for at få hjælp til at implementere de relevante tiltag ift. implementeringen af GDPR.
Derudover er det bemærkelsesværdigt, at Datatilsynet får kritik for tilsynsarbejdet. Tilsynene er jo der, hvor Datatilsynet går ud til de danske myndigheder og private virksomheder og tjekker, om reglerne bliver overholdt. Og som det er noteret fra Rigsrevisionen, så har en mangel på tilsyn medført en lav risiko for at blive opdaget.
Hvad siger Datatilsynet?
Datatilsynet har i deres kommentar til beretningen skrevet, at de ”tager kritikken alvorligt og har på flere områder allerede iværksat ændringer”, der bl.a. indeholder et mere dokumenteret og databaseret koncept for udførelsen af tilsyn, gentænkning af konceptet for planlagte tilsyn samt etablering af nye tilsynsformer. Dertil har de særligt fokus på at gøre deres vejledninger mere konkrete og målrettede. Datatilsynet forventer således at imødekomme Rigsrevisionens kritik.
Hvordan skal du forholde dig?
Det kan være svært at gennemskue, hvad det konkret kommer til at betyde for de private danske virksomheder. Men umiddelbart må man forvente, at Datatilsynet kommer til at ”skrue op” for deres tilsynsaktiviteter. Det vil alt andet lige betyde, at flere virksomheder vil blive udsat for tilsyn og derigennem få tjekket, om deres behandling af persondata lever op til kravene.
Reelt set ændrer det jo ikke noget ift. selve reglerne for overholdelse af GDPR, men den praktiske risiko for at blive opdaget, hvis ikke man følger reglerne, vil stige i takt med, at Datatilsynet øger deres tilsynsaktiviteter.
Der findes desværre ikke nogen ”mirakelkur” ift. overholdelse af GDPR. Så det kedelige budskab herfra er: Hvis du ikke er kommet i mål endnu, så er det bare om at komme i gang.
Så kan vi forhåbentlig se frem til endnu flere gode vejledninger fra Datatilsynet, som kan gøre arbejdet endnu nemmere. Der findes også allerede en række gode vejledninger.
