Presset rigspoliti erkender elendig datasikkerhed efter hård kritik: "Vi er i gang med at rette op på det"

Rigspolitiet erkender, at man har sjusket med datasikkerheden og ikke lever op til persondataloven.

”Jeg vil gerne slå fast, at det er en kritik, vi tager meget alvorligt. Det er ikke godt nok, og det skal der selvfølgelig rettes op på.”

Rigspolitiet har for nyligt modtaget en skarp kritik fra Datatilsynet, fordi Politiet bryder persondataloven og har betydelige mangler i datasikkerheden.

Databeskyttelseschef Christian Wiese Svanberg erkender blankt, at Rigspolitiet ikke lever op til sit ansvar, og han forsikrer, at man er gået i gang med at forbedre Rigspolitiets procedurer for datasikkerhed.

Kort fortalt kræver persondataloven, at offentlige myndigheder kontrollerer sikkerheden hos de private virksomheder og andre leverandører, de sender personoplysninger videre til.

Det gør Rigspolitiet for det meste ikke, og det har fået Datatilsynet til at kritisere, at Rigspolitiet i praksis ikke aner, hvordan de eksterne partnere behandler politiets oplysninger.

”Igen, det er ikke godt nok, og vi er allerede i gang med at få rettet op på det. Men det skal også understreges, at der ikke på nogen måde er tale om, at oplysninger er blevet lækket, eller at uvedkommende har haft adgang til data,” siger Christian Wiese Svanberg.

Læs mere datatilsynets kritik her: It-sikkerheden sejler alvorligt i Rigspolitiet: Forsømmer vigtige kontroller og sender data til USA uden tilladelse

CSC spøger stadig
Det er langt fra første gang, at datasikkerheden hos Rigspolitiet er i offentlighedens søgelys.

Både Rigsrevisionen og Datatilsynet har tidligere kritiseret lignende forhold, og det var netop utilstrækkelig sikkerhed hos databehandleren CSC, der i 2012 betød, at en hacker fik adgang til blandt andet kørekortregistret og CPR-registret.

Det er tilsyneladende begrænset, hvor meget der er sket siden, og Christian Wiese Svanberg er enig i Datatilsynets kritik.

Overfor Computerworld hæfter han sig dog ved det positive i, at Rigspolitiet har indgået de lovpligtige databehandleraftaler med de leverandører, der sendes personoplysninger videre til.

Selvom man ikke kontrollerer, om virksomhederne overholder dem.

”Jeg synes, det er vigtigt at understrege, at vi har alle de aftaler på plads, vi skal have med de pågældende databehandlere. Vi har således de retlige rammer på plads rundt om databehandlerne.”

Men I kontrollerer ikke, om databehandlerne rent faktisk overholder aftalerne?

”Nej, det er rigtigt, i forhold til de konkrete punkter som Datatilsynet kritiserer, der må man bare konstatere, at vi ikke er i mål,” siger Christian Wiese Svanberg.

Der er forskel på folk
Ifølge Christian Wiese Svanberg betyder den manglende kontrol med databehandlere ikke, at man som borger skal være nervøs for en ny CSC-skandale.

Han understreger, at CSC i denne omgang ikke er blandt de virksomheder, man har undladt at kontrollere sikkerheden hos.

Han forklarer, at Rigspolitiet skeler til, hvilken type opgaver en given virksomhed løser, når der skal tages stilling til, hvem man skal kontrollere sikkerheden hos.

"Vi forholder os selvfølgelig til, hvad det er for en type behandlingsaktivitet, den enkelte databehandler bistår os med. Er det nogen, der drifter vores systemer, eller er det nogen, der kun på ad hoc-basis får adgang i forbindelse med for eksempel support-opgaver. Det er også med det for øje, at vi gennemfører vores tilsyn," siger han til Computerworld.

Det er dog en uholdbar situation i juridisk forstand, da loven kræver, at sikkerheden tjekkes hos alle databehandlere.

Derfor arbejder Rigspolitiet nu på at gennemføre kontroller på mere fast basis.

"I lyset af denne her sag genovervejer vi også, om tilsynsopgaven bliver varetaget tilpas systematisk. Det er noget af det, jeg som nyudnævnt DPO i dansk politi vil se nærmere på."

Læs også: Datatilsynet frygter ny CSC-sag: ”Der er ikke nogen, der har ført tilsyn med noget som helst”



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Computerworld
Live fra Retten i Glostrup (afsluttet): Retten vurderer: Må Computerworld fortsætte liveblog eller ej?
Live fra Retten i Glostrup: Vi er tilbage i retten til Atea-sagens tredjesidste dag inden jul. Følg med i sagen her live og hør om, hvorvidt en rejse til USA var ren ferie på skatteydernes penge eller ej.
CIO
Efter masser af luksusbilag i Atea-bestikkelsesretssagen: Tiltalte it-topfolk fastholder uskyld - vil frifindes
Efter 18 retsdage med timelange afhøringer af de tiltalte og tonsvis af bilag står sagen stadig åben. "Hvis der er kommet noget frem her under sagen, så er det noget, der taler for vores påstand om frifindelse," mener forsvarer Michael Skjødt.
Comon
Ny topmobilprocessor afsløret: Her er de fire ting, du skal vide om Snapdragon 845
Qualcomm har præsenteret sin Snapdragon 845-chipsæt, som vil være at finde i mange af næste års bedste Android-telefoner. Her er alt, hvad du skal vide om chippen
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Er du klar til EU´s nye persondataforordning? ... her er de gode råd om, hvordan du bedst griber det an
Den nye persondataforordning, der træder i kraft 25. maj 2018, har ganske stor indflydelse på den måde, som mange virksomheder driver forretning på. Hvordan håndterer og beskytter virksomheden kundernes personlige data, så alle kunders valg bliver respekteret og beskyttet? Den nye forordning gælder uanset hvor virksomheden sender data til, uanset hvor data lagres, og uanset hvordan data håndteres. Læs dette whitepaper og få hjælp til at forberede virksomheden på den nye persondataforordning (GDPR). Få også et overblik over persondataforordningen og alle de nødvendige svar til at komme igang med processen.