Datatilsynet tager sig til hovedet over myndigheders elendige it-sikkerhed: "Reglerne har været gældende i snart 18 år'

Danske myndigheder bryder igen og igen loven ved ikke at kontrollere datasikkerheden hos deres leverandører.

04. januar 2018 kl. 13.39

(Foto: Supphachai)

“Det er mig en gåde, hvordan det kan gå nogens næse forbi. Reglerne har været gældende i snart 18 år, så der er ikke noget nyt under solen.”

Jesper Vang er kontorchef hos Datatilsynet, og han undrer sig over, at offentlige myndigheder i Danmark begår det samme lovbrud igen igen.

Myndighederne har pligt til at kontrollere sikkerheden hos de leverandører, de har outsourcet store dele af de offentlige it-systemer til, for at sikre sig, at leverandørerne passer ordentligt på borgernes data.

Men mange steder negliseres kontrollen fuldstændig.

Computerworld har i det seneste år kunnet fortælle, at både Skat, Rigspolitiet, regioner og kommuner forsømmer at påse sine it-leverandørers håndtering af persondata, og senest er det kommet frem, at Statens Seruminstitut heller ikke fører nogen form for kontrol.

De sager kan du læse mere om her: Har ikke styr på it-sikkerheden: Skat forsømmer at kontrollere it-sikkerhed i 200 it-systemer med fortrolige oplysninger

En intern undersøgelse fra Digitaliseringsstyrelsen viser desuden, at leverandørstyring volder store problemer i statens arbejde med sikkerhedsstandarden ISO27001, der ellers skulle være fuldt implementeret for to år siden.

Mange myndigheder er ikke engang kommet i mål med at definere principper og processer for, hvordan man skal føre tilsyn med sine leverandører.

“Det passer godt med det, vi ser ved vores kontroller,” siger Jesper Vang til Computerworld.

“Myndighedernes forklaring er som regel, at man ikke har været opmærksom på, at der skulle føres tilsyn med noget som helst.”

En del myndigheder outsourcer kontrollen med sine databehandlere til konsulenthuse, men i mange tilfælde tjekker konsulenthusene de forkerte ting, og så falder det hele tilbage på myndigheden.

Der er ikke nogen færdig skabelon for, hvordan kontrollen skal foregå, men ifølge Jesper Vang skal myndighederne helt grundlæggende bare sørge for, at de firmaer man hyrer til at håndtere borgernes data, overholder de samme regler som myndigheden selv er underlagt.

“Selvfølgelig skal man føre kontrol med sin databehandler. Man kan ikke bare uddelegere og så håbe på, at det hele nok skal gå.”

Læs også: To år efter deadline: Danske myndigheder endnu ikke på plads med vigtige sikkerheds-kontroller

Børsnoteringer

Advarer danske investorer: Derfor bør du ikke købe aktier, når Anthropic går på børsen

Seneste nyt

|Vis seneste uge

Læses lige nu

Sikkerhed

Trump afviste på dramatisk vis at underskrive cybersikkerhedsdekret - nu har han alligevel underskrevet et næsten identisk dokument

Digitalisering

Danmarks nye id-app AltID er landet: Download den her

Kunstig intelligens

Microsoft blæser til kamp mod Anthropic: Her er selskabets syv nye AI-modeller

Morgen-briefing

Morgen-briefing: EU’s store tech-suverænitetspakke bliver offentliggjort i dag / IBM-aktien strøg i vejret efter gammelt klip gik viralt / Norges største forlag trækker bog tilbage efter AI-brøler

Samfund

Tech-branchen jubler over regeringens planer for digitalisering

Annonce

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse