Region Nordjylland aner ikke om den overholder vigtig del af persondataloven: "Vi tager det ud fra almindelig sund fornuft"

Danske myndigheder har store problemer med at overholde persondataloven, og det står særligt skidt til med at kontrollere sikkerheden hos det offentliges it-leverandører. Ifølge Region Nordjylland er det umuligt at kontrollere, om man overholder reglerne.

“Det hele kommer jo an på, hvordan man tolker kontroller. Vi har jo ikke rigtigt nogen hjælp at hente i lovgivningen.”

Michael Lundsgaard Sørensen er kontorchef for it-forvaltning, drift og support i Region Nordjylland, og ifølge ham er det tæt på umuligt at vide, om regionen lever op til persondatalovens krav om beskyttelse af borgernes data.

Mere specifikt den del, der handler om, at myndigheder skal påse sikkerheden hos de virksomheder, de outsourcer den offentlige it til - i regionerne vil det overvejende være håndtering af borgernes sundhedsdata.

Computerworld har gennem det seneste års tid kunnet fortælle, at en lang række myndigheder fra Skat og Rigspolitiet til kommuner og regioner forsømmer sikkerhedskontrollen med it-leverandørerne.

Læs også: Presset rigspoliti erkender elendig datasikkerhed efter hård kritik: "Vi er i gang med at rette op på det"

Og da Computerworld beder om aktindsigt i Region Nordjyllands kontroller sine databehandlere fra 2012 til nu, lyder svaret da i første omgang også, at de kontroller kan Computerworld ikke få dokumentation for af den simple årsag, at kontrollerne ikke har fundet sted.

“I perioden fra 2012 til dags dato har Region Nordjylland ikke foretaget kontroller af sikkerheden hos regionens leverandører, hvorfor Region Nordjylland ikke kan give aktindsigt i den forbindelse,” hedder det i et skriftligt svar fra Regionen.

Senere bliver Computerworld dog kontaktet af Michael Lundsgaard Sørensen, der forklarer, at der er sket en fejl, og at man hos regionen rent faktisk påser sikkerheden hos sine leverandører.

Man holder blandt andet statusmøder og kontrollerer, at økonomien hos leverandørerne er i orden.

Om man kontrollerer de rigtige ting i forhold til gældende lov, er han dog i tvivl om.

'Almindelig sund fornuft'
“Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft,” siger Michael Lundsgaard Sørensen til Computerworld.

Persondataloven kræver lettere forsimplet, at offentlige myndigheder kontrollerer, at it-leverandørerne overholder de krav til sikkerhed, der fremgår af aftalen mellem de to parter - den såkaldte databehandleraftale. 

Det kan ifølge Datatilsynet stort set gøres ved at bede leverandøren om at dokumentere, at den rent faktisk overholder de sikkerhedskrav til datahåndtering, man har aftalt. 

Dermed ligger en stor del af arbejdsbyrden hos databehandleren.

Som myndighed er man juridisk forpligtet til at kontrollere, at de virksomheder, man har en databehandleraftale med, overholder den aftale. Gør Region Nordjylland det?

“Det kommer an på, hvor langt man går ud og tjekker. Vi har leverandører, der er ISO-certificeret, og vi sætter krav til antallet af statusmøder. Vi havde på et tidspunkt et system, hvor vi kunne se, at vi var den sidste tilbageværende kunde, og det var regionen, der holdt den virksomheds økonomi oppe. Og så laver vi selvfølgelig en exit-strategi for at passe på data. Og vi kontrollerer, hvem der tilgår systemerne. Vi ved lige præcis hvem, der tilgår hvad, og hvornår de gør det."

Det er så sikkerheden i selve systemerne, men kontrollerer I, om jeres databehandlere lever op til kravene i databehandleraftalen? Ved I, om de gør det?

“Så vil jeg sige, at jeg har ikke noget sted, hvor jeg kan få hjælp til at se, hvad det er for en juridisk gennemgang, jeg skal lave. Min vurdering er, at vi lever op til det. Men jeg har ikke et sted, hvor jeg kan gå hen og slå det der op.”

Region Nordjylland oplyste så sent som i 2016 til Datatilsynet, at man ikke påser sikkerheden hos sine databehandlere.

Computerworld har derfor bedt Region Nordjylland redegøre for, om det var forkerte oplysninger, man leverede til Datatilsynet, om man har ændret praksis siden da, og om man kan dokumentere de eventuelle kontroller med leverandørers håndtering af borgernes data, der er foregået.

Region Nordjyllands forvaltning oplyser per mail til Computerworld, at man kan svare på det senest i morgen, torsdag.

Computerworld følger op på sagen.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Fire gange større end næststørste leverandør: Offentlige indkøbere bør følge Ateas dominerende markedsposition tæt
Atea er fire gange større end den næststørste hardware-leverandør til det offentlige. Situationen skal følges skarpt af offentlige indkøbsorganisationer, så det ikke ender med dårlig konkurrence, lyder opråbet.
Computerworld
Få mere fra hånden med det nye Gmail: Her er de første billeder af Googles nye mail-satsning
Google vil gøre Gmail enklere og mere produktiv i de kommende uger. Se hvordan det nye Gmail tager sig ud her.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Klassiske brokere af it-konsulenter står over for kæmpe udfordring - forretningsmodellen er under pres
Klumme: Eksterne konsulenter er populære og en god løsning i en branche i vækst. Men selve forretningsmodellen bag it-konsulenterne er under alvorligt pres.
White paper
Sådan indfrier du virksomhedens digitale potentiale - og her giver det mest værdi at starte
Digitalisering er det altafgørende omdrejningspunkt for mange virksomheder. Men hvor tager man fat, så det giver mest værdi? EG har identificeret fem helt centrale områder, hvor der typisk er et perfekt match mellem virksomhedens behov og de teknologiske muligheder. Læs dette whitepaper og få indblik i, hvordan vidt forskellige virksomheder har grebet det an. 14 sider på dansk.