Datatilsynet tager sig til hovedet over myndigheders elendige it-sikkerhed: "Reglerne har været gældende i snart 18 år'

Danske myndigheder bryder igen og igen loven ved ikke at kontrollere datasikkerheden hos deres leverandører.

Artikel top billede

(Foto: Supphachai)

“Det er mig en gåde, hvordan det kan gå nogens næse forbi. Reglerne har været gældende i snart 18 år, så der er ikke noget nyt under solen.”

Jesper Vang er kontorchef hos Datatilsynet, og han undrer sig over, at offentlige myndigheder i Danmark begår det samme lovbrud igen igen.

Myndighederne har pligt til at kontrollere sikkerheden hos de leverandører, de har outsourcet store dele af de offentlige it-systemer til, for at sikre sig, at leverandørerne passer ordentligt på borgernes data.

Men mange steder negliseres kontrollen fuldstændig.

Computerworld har i det seneste år kunnet fortælle, at både Skat, Rigspolitiet, regioner og kommuner forsømmer at påse sine it-leverandørers håndtering af persondata, og senest er det kommet frem, at Statens Seruminstitut heller ikke fører nogen form for kontrol.

De sager kan du læse mere om her: Har ikke styr på it-sikkerheden: Skat forsømmer at kontrollere it-sikkerhed i 200 it-systemer med fortrolige oplysninger

En intern undersøgelse fra Digitaliseringsstyrelsen viser desuden, at leverandørstyring volder store problemer i statens arbejde med sikkerhedsstandarden ISO27001, der ellers skulle være fuldt implementeret for to år siden.

Mange myndigheder er ikke engang kommet i mål med at definere principper og processer for, hvordan man skal føre tilsyn med sine leverandører.

“Det passer godt med det, vi ser ved vores kontroller,” siger Jesper Vang til Computerworld.

“Myndighedernes forklaring er som regel, at man ikke har været opmærksom på, at der skulle føres tilsyn med noget som helst.”

En del myndigheder outsourcer kontrollen med sine databehandlere til konsulenthuse, men i mange tilfælde tjekker konsulenthusene de forkerte ting, og så falder det hele tilbage på myndigheden.

Der er ikke nogen færdig skabelon for, hvordan kontrollen skal foregå, men ifølge Jesper Vang skal myndighederne helt grundlæggende bare sørge for, at de firmaer man hyrer til at håndtere borgernes data, overholder de samme regler som myndigheden selv er underlagt.

“Selvfølgelig skal man føre kontrol med sin databehandler. Man kan ikke bare uddelegere og så håbe på, at det hele nok skal gå.”

Læs også: To år efter deadline: Danske myndigheder endnu ikke på plads med vigtige sikkerheds-kontroller

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S