Artikel top billede

(Foto: Supphachai)

Datatilsynet tager sig til hovedet over myndigheders elendige it-sikkerhed: "Reglerne har været gældende i snart 18 år'

Danske myndigheder bryder igen og igen loven ved ikke at kontrollere datasikkerheden hos deres leverandører.

“Det er mig en gåde, hvordan det kan gå nogens næse forbi. Reglerne har været gældende i snart 18 år, så der er ikke noget nyt under solen.”

Jesper Vang er kontorchef hos Datatilsynet, og han undrer sig over, at offentlige myndigheder i Danmark begår det samme lovbrud igen igen.

Myndighederne har pligt til at kontrollere sikkerheden hos de leverandører, de har outsourcet store dele af de offentlige it-systemer til, for at sikre sig, at leverandørerne passer ordentligt på borgernes data.

Men mange steder negliseres kontrollen fuldstændig.

Computerworld har i det seneste år kunnet fortælle, at både Skat, Rigspolitiet, regioner og kommuner forsømmer at påse sine it-leverandørers håndtering af persondata, og senest er det kommet frem, at Statens Seruminstitut heller ikke fører nogen form for kontrol.

De sager kan du læse mere om her: Har ikke styr på it-sikkerheden: Skat forsømmer at kontrollere it-sikkerhed i 200 it-systemer med fortrolige oplysninger

En intern undersøgelse fra Digitaliseringsstyrelsen viser desuden, at leverandørstyring volder store problemer i statens arbejde med sikkerhedsstandarden ISO27001, der ellers skulle være fuldt implementeret for to år siden.

Mange myndigheder er ikke engang kommet i mål med at definere principper og processer for, hvordan man skal føre tilsyn med sine leverandører.

“Det passer godt med det, vi ser ved vores kontroller,” siger Jesper Vang til Computerworld.

“Myndighedernes forklaring er som regel, at man ikke har været opmærksom på, at der skulle føres tilsyn med noget som helst.”

En del myndigheder outsourcer kontrollen med sine databehandlere til konsulenthuse, men i mange tilfælde tjekker konsulenthusene de forkerte ting, og så falder det hele tilbage på myndigheden.

Der er ikke nogen færdig skabelon for, hvordan kontrollen skal foregå, men ifølge Jesper Vang skal myndighederne helt grundlæggende bare sørge for, at de firmaer man hyrer til at håndtere borgernes data, overholder de samme regler som myndigheden selv er underlagt.

“Selvfølgelig skal man føre kontrol med sin databehandler. Man kan ikke bare uddelegere og så håbe på, at det hele nok skal gå.”

Læs også: To år efter deadline: Danske myndigheder endnu ikke på plads med vigtige sikkerheds-kontroller




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
IT og OT i harmoni: Sikring uden at gå på kompromis med effektiviteten

IT og OT smelter sammen – men med risiko for dyre fejl. Få metoder til sikker integration med ERP, kundesystemer og produktion. Tilmeld dig og få styr på forskellene og faldgruberne.

24. september 2025 | Læs mere


NIS2: Vi gør status efter tre måneder og lærer af erfaringerne

Vær med, når vi deler oplevelser med implementering af NIS2 og drøfter, hvordan du undgår at gentage erfaringerne fra GDPR – og særligt undgår kostbar overimplementering.

30. september 2025 | Læs mere


Ledelse og AI: Sådan transformerer teknologien lederskabet

Her er chancen for at netværke med andre ledere, der håndterer store transformationer med udgangspunkt i it. Hør blandt andet om, hvordan AI revolutionerer forandringsledelse og organisatorisk udvikling.

02. oktober 2025 | Læs mere