It-sikkerheden sejler alvorligt i Rigspolitiet: Forsømmer vigtige kontroller og sender data til USA uden tilladelse

Rigspolitiets center for it-kriminalitet sjusker med sikkerheden og bryder persondataloven. Sikkerheden hos databehandlere kontrolleres ikke, og data sendes til USA uden tilladelse.

Artikel top billede

(Foto: scyther5 / scyther5)

Man skulle tro, at Rigspolitiet havde lært vigtigheden af at kontrollere it-sikkerheden hos eksterne partnere.

Den såkaldte ”CSC-sag”, der betød, at en svensk hacker i 2012 fik adgang til data fra blandt andet kørekortregistret, Schengen-registret og CPR-registret, udsprang netop af, at sikkerheden ikke var i orden hos den databehandler, som sagen er opkaldt efter – CSC.

Det kan du læse mere om her: Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet

Men en ny afgørelse fra Datatilsynet viser, at Rigspolitiet stadigvæk ikke undersøger it-sikkerheden hos de fleste af de virksomheder og myndigheder, de sender personoplysninger videre til.

”Datatilsynet kan sammenfattende konkludere, at Rigspolitiet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses,” skriver Datatilsynet og giver Rigspolitiet karakteren ”kritisabelt”

Kort sagt: Rigspolitiet tjekker (stadigvæk) ikke, om it-sikkerheden er i orden hos de samarbejdspartnere, Rigspolitiet deler personoplysninger med.

Sender data til USA uden tilladelse

Rigspolitiets center for cyberkriminalitet, NC3, får desuden kritik af Datatilsynet for tilsyneladende at sende oplysninger ud af EU uden den nødvendige tilladelse.

NC3 samarbejder med den dansk/amerikanske virksomhed Chainalysis, der lever af at analysere blockchain-transaktioner - virksomheden følger altså Bitcoin-pengespor.

Og i den sammenhæng sender Rigspolitiet tilsyneladende oplysninger til USA uden den lovpligtige tilladelse fra Datatilsynet.

Politiet må gerne sende data til virksomheder uden for EU, så længe aftalen er en standard EU-kontrakt, der sikrer, at sikkerheden er i orden.

Men da Rigspolitiet har ændret i kontraktforholdene med Chainalysis, kræver det en tilladelse fra Datatilsynet at sende data til USA – og den tilladelse har Datatilsynet aldrig givet.

”Idet Rigspolitiet ikke har indhentet Datatilsynets forudgående tilladelse til overførsel af personoplysninger til databehandleren i USA, skal Datatilsynet henstille til, at Rigspolitiet straks ophører med at overføre personoplysninger til databehandleren Chainalysis Inc.”, skriver Datatilsynet i sin afgørelse.

Computerworld har siden tirsdag forsøgt at få en kommentar fra Rigspolitiet, der imidlertid ikke har ladet høre fra sig.

Læs også: Datatilsynet frygter ny CSC-sag: ”Der er ikke nogen, der har ført tilsyn med noget som helst”

Annonceindlæg fra Computerworld

Digital suverænitet kræver mere end strategier

Danmark vil mindske afhængigheden af globale techgiganter, men det kræver mere end politiske formuleringer og strategier, understreger PROSA’s formand Niels Bertelsen.

Navnenyt fra it-Danmark

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job
IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S