Kritikken kommer efter, at Datatilsynet har gennemført inspektioner af de to kommuners borgerservicecentre. For den ene kommunes vedkommende gik kritikken på en manglende kontrol af den sikkerhedslog, som skulle sikre dokumentation for ansattes opslag på borgere, og for den anden kommunes vedkommende på en utilstrækkelig kontrol af loggen kombineret med en utilstrækkelig autorisation af brugere, idet en borgerservicemedarbejder ved søgning på ordet "magtanvendelse" fik adgang til en liste over borgere, der havde været udsat for magtanvendelse. Medarbejderen havde - efter eget udsagn - ikke en arbejdsmæssig begrundelse for denne adgang.

Persondataloven stiller efter § 41, stk. 3, krav om, at den dataansvarlige træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende krav gælder for databehandleren.

Det ligger i formuleringen af bestemmelsen, at de sikkerhedsforanstaltninger, der skal være til stede, skal fastsættes ud fra en nærmere vurdering af, hvad der konkret er nødvendigt for at sikre personoplysninger mod misbrug mv. Bestemmelsen skal da også læses i sammenhæng med databeskyttelsesdirektivets artikel 17, stk. 2, hvorefter samme foranstaltninger "under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, [skal] tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes". Der er altså tale om en konkret vurdering baseret på oplysningernes følsomhed og de identificerede risici sammenholdt med, hvad der teknisk er muligt, samt udgifterne hertil.

Borgerservicecentre kendetegnes som andre front desk områder, f.eks. kundeservice, ved at det kan være vanskeligt eller uhensigtsmæssigt på forhånd at afskære en medarbejder fra adgang til for mange oplysninger eller for forskellige kategorier af registrerede. I disse tilfælde vil det i stedet være nødvendigt - for at begrænse en identificeret risiko for integritetskrænkelser - at indføre andre beskyttende foranstaltninger. Her vil jævnlige stikprøvekontroller af sikkerhedslogs være en meget vigtig sikkerhedsforanstaltning, hvilket Datatilsynet da også har beskrevet i en vejledning om borgerservicecentrene.

De to sager bekræfter endnu en gang, at man som dataansvarlig myndighed og virksomhed har en forpligtelse til konkret at tage stilling til persondatalovens § 41, stk. 3, i forhold til en given behandling af personoplysninger og de mulige scenarier, man kan forestille sig for misbrug, tab, forvanskning eller anden ulovlig behandling af personoplysninger. Er der rimelige løsninger, der kan begrænse realistiske og kendte risici, er der altså heller ikke nogen undskyldning for ikke at etablere disse.

Selv om de to sager handlede om offentlige myndigheder, så er kravene præcis de samme til private virksomheder. Man har altid pligt til at foretage en risikovurdering, og til at implementere de sikkerhedsforanstaltninger, som er nødvendige, teknisk mulige og rimelige, for at afdække de konstaterede risici.

Læs de to udtalelser her og her.