Overblik: Mere end 30 af landets kommuner bryder en aftale med staten ved at sende føldsomme persondata ud af landet? Her får du et overblik over sagen, som også har kastet tvivl om aftalen for det hidtil største kommunale it-system Aula.

Annonceindlæg fra Veeam Databeskyttelse er måske den mest oversete faktor i digitaliseringen Mangelfuld datastyring kan have fatale konsekvenser. | Læs mere

Annonce:

33 danske kommuner sender særligt følsomme data ud af Danmark via KMD's Microsoft Azure-baserede it-system KMD Momentum, der driftes i Amsterdam.Inden nytår er antallet af kommuner, der bryder aftalen vokset 44.Det har Computerworld afdækket siden begyndelsen af oktober.Baggrunden for hele misæren er, at 31 kommuner, der sidenhen er blevet til 33, overtræder en aftale med staten ved at sende personfølsomme oplysninger som cpr-numre, navne og adresser på alle borgere mellem 15 og 80 år, som har været i kontakt med de pågældende kommuners jobcentre, ud af Danmark via KMD Momentum-systemet.Som nævnt vokser antallet af kommuner, der benytter det Microsoft Azure-baserede system, der driftes i Amsterdam, til 44 inden nytår.Det skærende punkt er fortolkningen af krigsreglen - den lov, der skal sikre, at fremmede magter i tilfælde af krig ikke kan få adgang til følsomt nationalt data.Krigsreglen blev opdateret 25. maj, men der har siden bredt sig forvirring om, hvad den nye lov rent faktisk betyder.Krigsreglen fremgår af persondatalovens § 41, stk. 4, men 25. maj 2018 blev den gamle persondatalov erstattet af den nye databeskyttelseslov, som trådte i kraft sammen med databeskyttelsesforordningen.Her fremgår krigsreglen af § 3, stk. 9.Den nye krigsregel er dog blevet lempet væsentligt i forhold til formuleringen i persondataloven.Det har fået ministerierne på overarbejde.Ifølge loven er det nemlig op til justitsministeren og de relevante ressortministre, at vurdere, om de pågældende it-systemer og følsomme oplysninger kan forlade Danmark.Beskæftigelsesministeriet har allerede vurderet, at den gamle krigsregel gælder på beskæftigelsesområdet, indtil Justitsministeriet kommer med de nye retningslinjer, hvilket sker inden nytår.KMD, der står bag systemet, har fastholdt, at fortolkningen af reglerne af "ny viden" for selskabet, men torsdag afslørede Computerworld, at KMD har kendt til reglerne om den problematiske udflytning af data siden 2014.Selvom alle landets kommuner har aftalt med staten, at de ikke må sende særligt følsomme oplysninger ud af landet, sker det alligevel i næsten hver tredje kommune. Fra nytår sender 44 danske kommuner følsomme oplysninger til udlandet.Beskæftigelsesminister Troels Lund Poulsen (V) reagerer nu skarpt på, at mange kommuner stik imod en aftale med staten sender personfølsomme data til udlandet. Ministeren kræver, at kommunerne senest 15. oktober redegør tilfredsstillende for, hvordan de vil sikre, at de følsomme data forbliver i Danmark. Se hele ministerens brev her.KL nægter at besvare Computerworlds spørgsmål efter afsløringen af, at næsten en tredjedel af de danske kommuner i strid med aftale sender cpr-numre, adresser og navne ud af landet. Se spørgsmålene, som KL ikke vil svare på.Kommunerne har givet deres samtykke til KMD om, at persondata kan sendes til udlandet, meddeler KMD. Det er sket, selv om alle danske kommuner over for staten har forpligtet sig til ikke at sende særligt følsomme oplysninger ud af landet.Schultz, der er KMD's konkurrent som leverandør af it-systemer til landets jobcentre, har hele tiden vidst, at de personfølsomme data, som nu 32 danske kommuner i strid med en aftale har sendt til Holland, ikke må sendes ud af landet. Schultz forespurgte selv staten om muligheden for at drifte fra udlandet i oktober 2017. Det afviste staten.KMD har siden onsdag kontaktet selskabets kunder i 44 danske kommuner. Her har KMD givet kommunerne sin vurdering af situationen. Det sker efter, Computerworld onsdag kunne afsløre, hvordan flere danske KMD-kunder bryder en aftale med staten om at beholde særligt følsomme data i Danmark.Til sommer skal skolesystemet Aula sættes i drift via mindst et af AWS's europæiske datacentre. Der er bare et problem: Kombit ved endnu ikke, om det er lovligt, at flytte de personlige data fra børn og forældre ud af Danmark.KL, Kombit, KMD og mange flere har skreget på Justitsministeriets retningslinjer for fortolkningen af den 'nye' krigsregel. Nu tager Justitsministeriet endelig bladet fra munden og melder ud.Mandag skal de danske kommuner stå skoleret for beskæftigelsesminister Troels Lund Poulsen (V) i sagen om udflytning af følsomme danske data til udlandet. Kommunernes tidligere svar har ikke været tilfredsstillende, oplyser han til Computerworld."Det er alt for lang tid. Det er skadeligt for markedet, udviklingen og innovationen at vente. Det er skadeligt for Danmark." Dommen over regeringen er hård fra IT-Branchen, der mener, at den danske it-sektor lider stor skade, mens flere offentlige it-systemer er efterladt i et juridisk limbo.De danske kommuner nægter at svare på beskæftigelsesminister Troels Lund Poulsen (V) spørgsmål om, hvordan de vil sikre, at personfølsomme data ikke forlader Danmark.KL's første redegørelse i sagen om kommunernes udflytning af følsomme data var på blot 12 linjer. Læs hele redegørelsen, som fik dumpekarakter af beskæftigelsesminister Troels Lund Poulsen (V) her.I slutningen af juni blev KL beordret af staten til at stoppe danske kommuners tilslutning til it-systemer, der fører data på beskæftigelsesområdet ud af landet. Det er ikke sket. Til gengæld har yderligere 11 kommuner tilsluttet sig KMD Momentum siden.KMD har hidtil fastholdt, at det har været "ny viden" for selskabet, at følsomme persondata fra landets jobcentre ikke må sendes ud af landet. En SKI-aftale viser dog, at KMD har kendt til reglerne siden 2014. "Selv i det omfang, at KMD ikke har haft de fornødne juridiske kompetencer, burde alle advarselslamper da have blinket i forhold til teksten i SKI-aftalen," lyder det fra juridisk ekspert.