Knap halvdelen af landets kommuner har ikke styr på datasikkerheden, når der skal udstedes pas.

Det viser en række aktindsigter som DR Nyheder har fået.

Blandt landets 98 kommuner er der således i mindst 41 tilfælde ikke indgået en lovpligtig databehandleraftale med den leverandør, der hjælper med at udarbejde passene.

Se, hvor mange kommuner der sløser med datasikkerheden En række danske kommuner har ikke styr på datasikkerheden, når der skal laves pas. Se her, hvor mange kommuner, der har indgået en databehandleraftale - og hvor mange der ikke har: 27 kommuner havde databehandleraftaler, da DR Nyheder søgte aktindsigt.

7 kommuner har fået en databehandleraftale, efter at DR Nyheder har kontaktet dem.

41 kommuner har endnu ikke fået en databehandleraftale, men mange er i gang med at få den lavet.

6 kommuner har valgt ikke at have en leverandør til at håndtere passene.

17 kommuner har ikke svaret på aktindsigten.

Det betyder, at der i disse kommuner ikke er garanti for, at personfølsomme oplysninger som for eksempel cpr-numre, fingeraftryk og pasfoto bliver behandlet sikkert.

- Det er selvfølgelig ikke i orden. Det er nogle af vores allermest kritiske data. Pasoplysninger kan bruges som adgang til rigtig mange ting, hvis de kommer i de forkerte hænder, derfor skal man have en aftale, der beskytter de data, siger Rasmus Theede, som er formand for Rådet for Digital Sikkerhed.

Ishøj kommuner erkender fejl

På landets borgerservicecentre bliver der dagligt udstedt tusindvis af pas, og i den forbindelse har størstedelen af kommunerne ansat eksterne leverandører til at hjælpe sig.

Man har tilsyneladende bare glemt at få lavet en databehandleraftale, som forpligter de private leverandører af pas til at behandle persondata fortroligt, viser en rundringning, som DR Nyheder har lavet.

Og det er et brud på persondataloven.

En af de kommuner, der ikke har fået lavet en databehandleraftale, men som efter DR Nyheders henvendelse nu arbejder på at få det, er Ishøj Kommune.

- Der må vi blankt erkende, at det er en klar fejl fra vores side. Vi skal jo sikre borgerne mod eventuelt misbrug, og det vil vi selvfølgelig følge op på hurtigst muligt og få lavet sådan en databehandleraftale, siger Claes Jakobsen, som er afdelingsleder i Ishøj Kommunes Borgerservice.

Kommunerne ved ikke bedre

Der er i alt tre firmaer, der leverer pas til kommunerne; Kube Data, Scantech Sikkerhedssystemer og Biometric.

I samtlige af de kommuner, der benytter sig af Biometric, er der skrevet under på en databehandlingsaftale, viser aktindsigten. Men et andet billede tegner sig for de to andre firmaer.

Det er kritisk, siger Rasmus Theede, selvom det endnu ikke er afsløret, hvorvidt der overhovedet har været brud på sikkerheden.

- Lovgivningen er til for at blive overholdt, og det har kommunerne ansvar for, siger han og fortsætter:

- Men der er også mange kommuner, der er i tvivl om, hvorvidt de skal lave dem (databehandleraftaler, red.), og hvad de skal indeholde. Det kræver bedre rådgivning.

Pasfirmaer er indstillede på at indgå aftaler

Både Kube Data og Scan-Tech Sikkerhedssystemer er indstillede på at indgå databehandleraftaler med kommunerne.

- Vi indgår løbende databehandleraftaler med kommunerne. I visse tilfælde, er det ikke blevet forespurgt af kommunen, men for at hjælpe vore kunder med at leve op til kravene, har vi gjort emnet til en fast del af dialogen, skriver ejer Jonathan Jørgensen i et svar til DR Nyheder.

Læs også : Dårlig datasikkerhed kan snart udløse millionbøde

Og hos Scan-tech Sikkerhedssystemer er interessen den samme både fra selskabet og kommunernes side, vurderer selskabet.

- Da der således er tale om sammenfaldende interesser, ser vi ikke noget grundlag for yderligere diskussion af dette emne, skriver selskabets ejer, Bjarne Jensen i sit svar til DR Nyheder.

Datatilsynet: Der er grund til bekymring

Kun 27 af de 71 kommuner, der har svaret på DR Nyheders aktindsigt, havde databehandleraftaler, da vi kontaktede dem.

Syv har fået det efterfølgende, mens flere arbejder på at få det.

Men selvom det er kommunernes ansvar at overholde lovgivningen, så har Datatilsynet også et ansvar, påpeger Rasmus Theede. Det er nemlig deres opgave at holde tilsyn med om datasikkerheden er i orden.

Det erkender Datatilsynets kontorchef, Lene Andersen:

- Vi gør, alt hvad vi kan, med det, vi har at gøre godt med. Men de informationer, der nu er gravet frem, dem kommer vi til at bruge, når vi skal lave tilsyn i den nærmeste fremtid, siger hun.

Skal man være bekymret, når kommunerne ikke har lavet databehandleraftaler?

- Ja, jeg synes, man skal være bekymret, når loven ikke bliver overholdt, og kommunerne måske ikke engang er opmærksomme på, at der er sådan nogle regler.

Reglerne blev indført med databehandleraftalerne i 2000.