Datatilsynet tager sig til hovedet over myndigheders elendige it-sikkerhed: "Reglerne har været gældende i snart 18 år'

Danske myndigheder bryder igen og igen loven ved ikke at kontrollere datasikkerheden hos deres leverandører.

Artikel top billede

(Foto: Supphachai)

“Det er mig en gåde, hvordan det kan gå nogens næse forbi. Reglerne har været gældende i snart 18 år, så der er ikke noget nyt under solen.”

Jesper Vang er kontorchef hos Datatilsynet, og han undrer sig over, at offentlige myndigheder i Danmark begår det samme lovbrud igen igen.

Myndighederne har pligt til at kontrollere sikkerheden hos de leverandører, de har outsourcet store dele af de offentlige it-systemer til, for at sikre sig, at leverandørerne passer ordentligt på borgernes data.

Men mange steder negliseres kontrollen fuldstændig.

Computerworld har i det seneste år kunnet fortælle, at både Skat, Rigspolitiet, regioner og kommuner forsømmer at påse sine it-leverandørers håndtering af persondata, og senest er det kommet frem, at Statens Seruminstitut heller ikke fører nogen form for kontrol.

De sager kan du læse mere om her: Har ikke styr på it-sikkerheden: Skat forsømmer at kontrollere it-sikkerhed i 200 it-systemer med fortrolige oplysninger

En intern undersøgelse fra Digitaliseringsstyrelsen viser desuden, at leverandørstyring volder store problemer i statens arbejde med sikkerhedsstandarden ISO27001, der ellers skulle være fuldt implementeret for to år siden.

Mange myndigheder er ikke engang kommet i mål med at definere principper og processer for, hvordan man skal føre tilsyn med sine leverandører.

“Det passer godt med det, vi ser ved vores kontroller,” siger Jesper Vang til Computerworld.

“Myndighedernes forklaring er som regel, at man ikke har været opmærksom på, at der skulle føres tilsyn med noget som helst.”

En del myndigheder outsourcer kontrollen med sine databehandlere til konsulenthuse, men i mange tilfælde tjekker konsulenthusene de forkerte ting, og så falder det hele tilbage på myndigheden.

Der er ikke nogen færdig skabelon for, hvordan kontrollen skal foregå, men ifølge Jesper Vang skal myndighederne helt grundlæggende bare sørge for, at de firmaer man hyrer til at håndtere borgernes data, overholder de samme regler som myndigheden selv er underlagt.

“Selvfølgelig skal man føre kontrol med sin databehandler. Man kan ikke bare uddelegere og så håbe på, at det hele nok skal gå.”

Læs også: To år efter deadline: Danske myndigheder endnu ikke på plads med vigtige sikkerheds-kontroller

Læses lige nu

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS