Region Nordjylland aner ikke om den overholder vigtig del af persondataloven: "Vi tager det ud fra almindelig sund fornuft"

Danske myndigheder har store problemer med at overholde persondataloven, og det står særligt skidt til med at kontrollere sikkerheden hos det offentliges it-leverandører. Ifølge Region Nordjylland er det umuligt at kontrollere, om man overholder reglerne.

“Det hele kommer jo an på, hvordan man tolker kontroller. Vi har jo ikke rigtigt nogen hjælp at hente i lovgivningen.”

Michael Lundsgaard Sørensen er kontorchef for it-forvaltning, drift og support i Region Nordjylland, og ifølge ham er det tæt på umuligt at vide, om regionen lever op til persondatalovens krav om beskyttelse af borgernes data.

Mere specifikt den del, der handler om, at myndigheder skal påse sikkerheden hos de virksomheder, de outsourcer den offentlige it til - i regionerne vil det overvejende være håndtering af borgernes sundhedsdata.

Computerworld har gennem det seneste års tid kunnet fortælle, at en lang række myndigheder fra Skat og Rigspolitiet til kommuner og regioner forsømmer sikkerhedskontrollen med it-leverandørerne.

Læs også: Presset rigspoliti erkender elendig datasikkerhed efter hård kritik: "Vi er i gang med at rette op på det"

Og da Computerworld beder om aktindsigt i Region Nordjyllands kontroller sine databehandlere fra 2012 til nu, lyder svaret da i første omgang også, at de kontroller kan Computerworld ikke få dokumentation for af den simple årsag, at kontrollerne ikke har fundet sted.

“I perioden fra 2012 til dags dato har Region Nordjylland ikke foretaget kontroller af sikkerheden hos regionens leverandører, hvorfor Region Nordjylland ikke kan give aktindsigt i den forbindelse,” hedder det i et skriftligt svar fra Regionen.

Senere bliver Computerworld dog kontaktet af Michael Lundsgaard Sørensen, der forklarer, at der er sket en fejl, og at man hos regionen rent faktisk påser sikkerheden hos sine leverandører.

Man holder blandt andet statusmøder og kontrollerer, at økonomien hos leverandørerne er i orden.

Om man kontrollerer de rigtige ting i forhold til gældende lov, er han dog i tvivl om.

'Almindelig sund fornuft'
“Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft,” siger Michael Lundsgaard Sørensen til Computerworld.

Persondataloven kræver lettere forsimplet, at offentlige myndigheder kontrollerer, at it-leverandørerne overholder de krav til sikkerhed, der fremgår af aftalen mellem de to parter - den såkaldte databehandleraftale. 

Det kan ifølge Datatilsynet stort set gøres ved at bede leverandøren om at dokumentere, at den rent faktisk overholder de sikkerhedskrav til datahåndtering, man har aftalt. 

Dermed ligger en stor del af arbejdsbyrden hos databehandleren.

Som myndighed er man juridisk forpligtet til at kontrollere, at de virksomheder, man har en databehandleraftale med, overholder den aftale. Gør Region Nordjylland det?

“Det kommer an på, hvor langt man går ud og tjekker. Vi har leverandører, der er ISO-certificeret, og vi sætter krav til antallet af statusmøder. Vi havde på et tidspunkt et system, hvor vi kunne se, at vi var den sidste tilbageværende kunde, og det var regionen, der holdt den virksomheds økonomi oppe. Og så laver vi selvfølgelig en exit-strategi for at passe på data. Og vi kontrollerer, hvem der tilgår systemerne. Vi ved lige præcis hvem, der tilgår hvad, og hvornår de gør det."

Det er så sikkerheden i selve systemerne, men kontrollerer I, om jeres databehandlere lever op til kravene i databehandleraftalen? Ved I, om de gør det?

“Så vil jeg sige, at jeg har ikke noget sted, hvor jeg kan få hjælp til at se, hvad det er for en juridisk gennemgang, jeg skal lave. Min vurdering er, at vi lever op til det. Men jeg har ikke et sted, hvor jeg kan gå hen og slå det der op.”

Region Nordjylland oplyste så sent som i 2016 til Datatilsynet, at man ikke påser sikkerheden hos sine databehandlere.

Computerworld har derfor bedt Region Nordjylland redegøre for, om det var forkerte oplysninger, man leverede til Datatilsynet, om man har ændret praksis siden da, og om man kan dokumentere de eventuelle kontroller med leverandørers håndtering af borgernes data, der er foregået.

Region Nordjyllands forvaltning oplyser per mail til Computerworld, at man kan svare på det senest i morgen, torsdag.

Computerworld følger op på sagen.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Med ny iOS-opdatering vil du selv kunne slå udskældt batterifunktion fra på din iPhone
Apple har sænket ydeevnen på ældre iPhones for at få batteriet til at holde længere, men nu fortæller Tim Cook, at du i fremtiden selv kan slå funktionen fra.
CIO
Vestas’ CIO stopper: Torben Bonde trækker sig efter 19 år på posten
Interview: Torben Bonde har været CIO i Vestas i de seneste 19 år og har været øverste chef for mange hundrede it-medarbejdere i en global it-organisation, men nu er det slut. Her fortæller Torben Bonde om fremtidsplanerne.
Comon
LG stopper al udvikling af LG G7: Begynder helt forfra få måneder før lancering
Ifølge et velanset koreansk investormedie har LG’s CEO beordret fuld stop på udviklingen af LG G7 og starte forfra
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.