“Det er mig en gåde, hvordan det kan gå nogens næse forbi. Reglerne har været gældende i snart 18 år, så der er ikke noget nyt under solen.”
Jesper Vang er kontorchef hos Datatilsynet, og han undrer sig over, at offentlige myndigheder i Danmark begår det samme lovbrud igen igen.
Myndighederne har pligt til at kontrollere sikkerheden hos de leverandører, de har outsourcet store dele af de offentlige it-systemer til, for at sikre sig, at leverandørerne passer ordentligt på borgernes data.
Men mange steder negliseres kontrollen fuldstændig.
Computerworld har i det seneste år kunnet fortælle, at både Skat, Rigspolitiet, regioner og kommuner forsømmer at påse sine it-leverandørers håndtering af persondata, og senest er det kommet frem, at Statens Seruminstitut heller ikke fører nogen form for kontrol.
De sager kan du læse mere om her: Har ikke styr på it-sikkerheden: Skat forsømmer at kontrollere it-sikkerhed i 200 it-systemer med fortrolige oplysninger
En intern undersøgelse fra Digitaliseringsstyrelsen viser desuden, at leverandørstyring volder store problemer i statens arbejde med sikkerhedsstandarden ISO27001, der ellers skulle være fuldt implementeret for to år siden.
Mange myndigheder er ikke engang kommet i mål med at definere principper og processer for, hvordan man skal føre tilsyn med sine leverandører.
“Det passer godt med det, vi ser ved vores kontroller,” siger Jesper Vang til Computerworld.
“Myndighedernes forklaring er som regel, at man ikke har været opmærksom på, at der skulle føres tilsyn med noget som helst.”
En del myndigheder outsourcer kontrollen med sine databehandlere til konsulenthuse, men i mange tilfælde tjekker konsulenthusene de forkerte ting, og så falder det hele tilbage på myndigheden.
Der er ikke nogen færdig skabelon for, hvordan kontrollen skal foregå, men ifølge Jesper Vang skal myndighederne helt grundlæggende bare sørge for, at de firmaer man hyrer til at håndtere borgernes data, overholder de samme regler som myndigheden selv er underlagt.
“Selvfølgelig skal man føre kontrol med sin databehandler. Man kan ikke bare uddelegere og så håbe på, at det hele nok skal gå.”
Læs også: To år efter deadline: Danske myndigheder endnu ikke på plads med vigtige sikkerheds-kontroller
