CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Region Nordjylland aner ikke om den overholder vigtig del af persondataloven: "Vi tager det ud fra almindelig sund fornuft"

Danske myndigheder har store problemer med at overholde persondataloven, og det står særligt skidt til med at kontrollere sikkerheden hos det offentliges it-leverandører. Ifølge Region Nordjylland er det umuligt at kontrollere, om man overholder reglerne.

10. januar 2018 kl. 10.52
Adam Fribo Adam Fribo

“Det hele kommer jo an på, hvordan man tolker kontroller. Vi har jo ikke rigtigt nogen hjælp at hente i lovgivningen.”

Michael Lundsgaard Sørensen er kontorchef for it-forvaltning, drift og support i Region Nordjylland, og ifølge ham er det tæt på umuligt at vide, om regionen lever op til persondatalovens krav om beskyttelse af borgernes data.

Mere specifikt den del, der handler om, at myndigheder skal påse sikkerheden hos de virksomheder, de outsourcer den offentlige it til - i regionerne vil det overvejende være håndtering af borgernes sundhedsdata.

Computerworld har gennem det seneste års tid kunnet fortælle, at en lang række myndigheder fra Skat og Rigspolitiet til kommuner og regioner forsømmer sikkerhedskontrollen med it-leverandørerne.

Læs også: Presset rigspoliti erkender elendig datasikkerhed efter hård kritik: "Vi er i gang med at rette op på det"

Og da Computerworld beder om aktindsigt i Region Nordjyllands kontroller sine databehandlere fra 2012 til nu, lyder svaret da i første omgang også, at de kontroller kan Computerworld ikke få dokumentation for af den simple årsag, at kontrollerne ikke har fundet sted.

“I perioden fra 2012 til dags dato har Region Nordjylland ikke foretaget kontroller af sikkerheden hos regionens leverandører, hvorfor Region Nordjylland ikke kan give aktindsigt i den forbindelse,” hedder det i et skriftligt svar fra Regionen.

Senere bliver Computerworld dog kontaktet af Michael Lundsgaard Sørensen, der forklarer, at der er sket en fejl, og at man hos regionen rent faktisk påser sikkerheden hos sine leverandører.

Man holder blandt andet statusmøder og kontrollerer, at økonomien hos leverandørerne er i orden.

Om man kontrollerer de rigtige ting i forhold til gældende lov, er han dog i tvivl om.

'Almindelig sund fornuft'

“Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft,” siger Michael Lundsgaard Sørensen til Computerworld.

Persondataloven kræver lettere forsimplet, at offentlige myndigheder kontrollerer, at it-leverandørerne overholder de krav til sikkerhed, der fremgår af aftalen mellem de to parter - den såkaldte databehandleraftale. 

Det kan ifølge Datatilsynet stort set gøres ved at bede leverandøren om at dokumentere, at den rent faktisk overholder de sikkerhedskrav til datahåndtering, man har aftalt. 

Dermed ligger en stor del af arbejdsbyrden hos databehandleren.

Som myndighed er man juridisk forpligtet til at kontrollere, at de virksomheder, man har en databehandleraftale med, overholder den aftale. Gør Region Nordjylland det?

“Det kommer an på, hvor langt man går ud og tjekker. Vi har leverandører, der er ISO-certificeret, og vi sætter krav til antallet af statusmøder. Vi havde på et tidspunkt et system, hvor vi kunne se, at vi var den sidste tilbageværende kunde, og det var regionen, der holdt den virksomheds økonomi oppe. Og så laver vi selvfølgelig en exit-strategi for at passe på data. Og vi kontrollerer, hvem der tilgår systemerne. Vi ved lige præcis hvem, der tilgår hvad, og hvornår de gør det."

Det er så sikkerheden i selve systemerne, men kontrollerer I, om jeres databehandlere lever op til kravene i databehandleraftalen? Ved I, om de gør det?

“Så vil jeg sige, at jeg har ikke noget sted, hvor jeg kan få hjælp til at se, hvad det er for en juridisk gennemgang, jeg skal lave. Min vurdering er, at vi lever op til det. Men jeg har ikke et sted, hvor jeg kan gå hen og slå det der op.”

Region Nordjylland oplyste så sent som i 2016 til Datatilsynet, at man ikke påser sikkerheden hos sine databehandlere.

Computerworld har derfor bedt Region Nordjylland redegøre for, om det var forkerte oplysninger, man leverede til Datatilsynet, om man har ændret praksis siden da, og om man kan dokumentere de eventuelle kontroller med leverandørers håndtering af borgernes data, der er foregået.

Region Nordjyllands forvaltning oplyser per mail til Computerworld, at man kan svare på det senest i morgen, torsdag.

Computerworld følger op på sagen.
Læs også: Stikprøver afslører: Datasikkerheden sejler i danske kommuner og regioner



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
Jim Nielsen
Jim Nielsen
Thomas Madsen
Thomas Madsen
opinion
David Guldager
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Læs indlæg
Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Artikel teaser billede

Erik David Johnson

Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op

Mest læste klummer og blogs
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Klumme: Elektrificeringen lever i bedste velgående i de nordiske lande. Vi køber og leaser elbiler som aldrig før, og på mange leder og kanter er de også mere avancerede end nogensinde før. Men alligevel er vi langt fra , hvad vi egentlig var blevet lovet. Her er tre ønsker til min næste bil.
Af: David Guldager
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Vi har brug for en national dansk AI-sprogmodel - og det er der flere grunde til
Klumme: Danmark bør satse på at bygge en national AI-sprogmodel for at stå stærkere sprogligt og kulturelt – og for at mindske afhængigheden af amerikanske techgiganter.
Af: Laura Klitgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
opinion Laura Klitgaard
Vi har brug for en national dansk AI-sprogmodel - og det er der flere grunde til
Læs indlæg

Premium
Teaser billede
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Læs mere »
Danske Jesper Schleimann bliver øverste AI-chef i Europa for SAP: Åbner nyt AI-center i stor satsning
Efter hård kritik og vrede kunder: Broadcom sparker store ændringer i VMwares licenser til hjørne
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Tesla sender ny Model Y på gaden – sætter rækkevidderekord
Ny Windows-maskine fylder mindre end et kreditkort
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske SAP-konsulenter er for gamle: Kan blive et kæmpe problem
Danfoss er i fuld gang med stor SAP-transformation: Særligt setup skal sikre, at selskabet forbliver herre i eget hus
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »