Region Nordjylland aner ikke om den overholder vigtig del af persondataloven: "Vi tager det ud fra almindelig sund fornuft"

Danske myndigheder har store problemer med at overholde persondataloven, og det står særligt skidt til med at kontrollere sikkerheden hos det offentliges it-leverandører. Ifølge Region Nordjylland er det umuligt at kontrollere, om man overholder reglerne.

“Det hele kommer jo an på, hvordan man tolker kontroller. Vi har jo ikke rigtigt nogen hjælp at hente i lovgivningen.”

Michael Lundsgaard Sørensen er kontorchef for it-forvaltning, drift og support i Region Nordjylland, og ifølge ham er det tæt på umuligt at vide, om regionen lever op til persondatalovens krav om beskyttelse af borgernes data.

Mere specifikt den del, der handler om, at myndigheder skal påse sikkerheden hos de virksomheder, de outsourcer den offentlige it til - i regionerne vil det overvejende være håndtering af borgernes sundhedsdata.

Computerworld har gennem det seneste års tid kunnet fortælle, at en lang række myndigheder fra Skat og Rigspolitiet til kommuner og regioner forsømmer sikkerhedskontrollen med it-leverandørerne.

Læs også: Presset rigspoliti erkender elendig datasikkerhed efter hård kritik: "Vi er i gang med at rette op på det"

Og da Computerworld beder om aktindsigt i Region Nordjyllands kontroller sine databehandlere fra 2012 til nu, lyder svaret da i første omgang også, at de kontroller kan Computerworld ikke få dokumentation for af den simple årsag, at kontrollerne ikke har fundet sted.

“I perioden fra 2012 til dags dato har Region Nordjylland ikke foretaget kontroller af sikkerheden hos regionens leverandører, hvorfor Region Nordjylland ikke kan give aktindsigt i den forbindelse,” hedder det i et skriftligt svar fra Regionen.

Senere bliver Computerworld dog kontaktet af Michael Lundsgaard Sørensen, der forklarer, at der er sket en fejl, og at man hos regionen rent faktisk påser sikkerheden hos sine leverandører.

Man holder blandt andet statusmøder og kontrollerer, at økonomien hos leverandørerne er i orden.

Om man kontrollerer de rigtige ting i forhold til gældende lov, er han dog i tvivl om.

'Almindelig sund fornuft'
“Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft,” siger Michael Lundsgaard Sørensen til Computerworld.

Persondataloven kræver lettere forsimplet, at offentlige myndigheder kontrollerer, at it-leverandørerne overholder de krav til sikkerhed, der fremgår af aftalen mellem de to parter - den såkaldte databehandleraftale. 

Det kan ifølge Datatilsynet stort set gøres ved at bede leverandøren om at dokumentere, at den rent faktisk overholder de sikkerhedskrav til datahåndtering, man har aftalt. 

Dermed ligger en stor del af arbejdsbyrden hos databehandleren.

Som myndighed er man juridisk forpligtet til at kontrollere, at de virksomheder, man har en databehandleraftale med, overholder den aftale. Gør Region Nordjylland det?

“Det kommer an på, hvor langt man går ud og tjekker. Vi har leverandører, der er ISO-certificeret, og vi sætter krav til antallet af statusmøder. Vi havde på et tidspunkt et system, hvor vi kunne se, at vi var den sidste tilbageværende kunde, og det var regionen, der holdt den virksomheds økonomi oppe. Og så laver vi selvfølgelig en exit-strategi for at passe på data. Og vi kontrollerer, hvem der tilgår systemerne. Vi ved lige præcis hvem, der tilgår hvad, og hvornår de gør det."

Det er så sikkerheden i selve systemerne, men kontrollerer I, om jeres databehandlere lever op til kravene i databehandleraftalen? Ved I, om de gør det?

“Så vil jeg sige, at jeg har ikke noget sted, hvor jeg kan få hjælp til at se, hvad det er for en juridisk gennemgang, jeg skal lave. Min vurdering er, at vi lever op til det. Men jeg har ikke et sted, hvor jeg kan gå hen og slå det der op.”

Region Nordjylland oplyste så sent som i 2016 til Datatilsynet, at man ikke påser sikkerheden hos sine databehandlere.

Computerworld har derfor bedt Region Nordjylland redegøre for, om det var forkerte oplysninger, man leverede til Datatilsynet, om man har ændret praksis siden da, og om man kan dokumentere de eventuelle kontroller med leverandørers håndtering af borgernes data, der er foregået.

Region Nordjyllands forvaltning oplyser per mail til Computerworld, at man kan svare på det senest i morgen, torsdag.

Computerworld følger op på sagen.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Afsløring: KMD kalder det "ny viden" - men selskabet har kendt til problematisk udflytning af persondata siden 2014
KMD har hidtil fastholdt, at det har været "ny viden" for selskabet, at følsomme persondata fra landets jobcentre ikke må sendes ud af landet. En SKI-aftale viser dog, at KMD har kendt til reglerne siden 2014. "Selv i det omfang, at KMD ikke har haft de fornødne juridiske kompetencer, burde alle advarselslamper da have blinket i forhold til teksten i SKI-aftalen," lyder det fra juridisk ekspert.
Computerworld
Google indfører Android-gebyr efter kæmpe EU-bøde: Android-producenter skal nu betale for brug af Google-tjenester
Efter sommerens kæmpe EU-bøde indfører Google licensbetaling for Android-producenters brug af blandt andet Play Store. Men "Android vil forblive gratis og open source," lyder det fra selskabet.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Syv nemme trin: Sådan leverer du fremtidens digitale kundeservice
Når kunder besøger jer via digitale touchpoints, kan deres rejse godt virke tilfældig og med flere omveje undervejs, men det er vigtigt at slå fast, at for kunden er det én samlet oplevelse. Når den kundeoplevelse byder på udfordringer, så stiger frustrationen hos kunden, og det er et stort problem for jeres forretning. I dette whitepaper gennemgår vi syv simple trin, kan give dig en indsigt i hvordan I tilpasser jer fremtidens kundeservice .