“Det hele kommer jo an på, hvordan man tolker kontroller. Vi har jo ikke rigtigt nogen hjælp at hente i lovgivningen.”
Michael Lundsgaard Sørensen er kontorchef for it-forvaltning, drift og support i Region Nordjylland, og ifølge ham er det tæt på umuligt at vide, om regionen lever op til persondatalovens krav om beskyttelse af borgernes data.
Mere specifikt den del, der handler om, at myndigheder skal påse sikkerheden hos de virksomheder, de outsourcer den offentlige it til - i regionerne vil det overvejende være håndtering af borgernes sundhedsdata.
Computerworld har gennem det seneste års tid kunnet fortælle, at en lang række myndigheder fra Skat og Rigspolitiet til kommuner og regioner forsømmer sikkerhedskontrollen med it-leverandørerne.
Og da Computerworld beder om aktindsigt i Region Nordjyllands kontroller sine databehandlere fra 2012 til nu, lyder svaret da i første omgang også, at de kontroller kan Computerworld ikke få dokumentation for af den simple årsag, at kontrollerne ikke har fundet sted.
“I perioden fra 2012 til dags dato har Region Nordjylland ikke foretaget kontroller af sikkerheden hos regionens leverandører, hvorfor Region Nordjylland ikke kan give aktindsigt i den forbindelse,” hedder det i et skriftligt svar fra Regionen.
Senere bliver Computerworld dog kontaktet af Michael Lundsgaard Sørensen, der forklarer, at der er sket en fejl, og at man hos regionen rent faktisk påser sikkerheden hos sine leverandører.
Man holder blandt andet statusmøder og kontrollerer, at økonomien hos leverandørerne er i orden.
Om man kontrollerer de rigtige ting i forhold til gældende lov, er han dog i tvivl om.
'Almindelig sund fornuft'
“Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft,” siger Michael Lundsgaard Sørensen til Computerworld.
Persondataloven kræver lettere forsimplet, at offentlige myndigheder kontrollerer, at it-leverandørerne overholder de krav til sikkerhed, der fremgår af aftalen mellem de to parter - den såkaldte databehandleraftale.
Det kan ifølge Datatilsynet stort set gøres ved at bede leverandøren om at dokumentere, at den rent faktisk overholder de sikkerhedskrav til datahåndtering, man har aftalt.
Dermed ligger en stor del af arbejdsbyrden hos databehandleren.
Som myndighed er man juridisk forpligtet til at kontrollere, at de virksomheder, man har en databehandleraftale med, overholder den aftale. Gør Region Nordjylland det?
“Det kommer an på, hvor langt man går ud og tjekker. Vi har leverandører, der er ISO-certificeret, og vi sætter krav til antallet af statusmøder. Vi havde på et tidspunkt et system, hvor vi kunne se, at vi var den sidste tilbageværende kunde, og det var regionen, der holdt den virksomheds økonomi oppe. Og så laver vi selvfølgelig en exit-strategi for at passe på data. Og vi kontrollerer, hvem der tilgår systemerne. Vi ved lige præcis hvem, der tilgår hvad, og hvornår de gør det."
Det er så sikkerheden i selve systemerne, men kontrollerer I, om jeres databehandlere lever op til kravene i databehandleraftalen? Ved I, om de gør det?
“Så vil jeg sige, at jeg har ikke noget sted, hvor jeg kan få hjælp til at se, hvad det er for en juridisk gennemgang, jeg skal lave. Min vurdering er, at vi lever op til det. Men jeg har ikke et sted, hvor jeg kan gå hen og slå det der op.”
Region Nordjylland oplyste så sent som i 2016 til Datatilsynet, at man ikke påser sikkerheden hos sine databehandlere.
Computerworld har derfor bedt Region Nordjylland redegøre for, om det var forkerte oplysninger, man leverede til Datatilsynet, om man har ændret praksis siden da, og om man kan dokumentere de eventuelle kontroller med leverandørers håndtering af borgernes data, der er foregået.
Region Nordjyllands forvaltning oplyser per mail til Computerworld, at man kan svare på det senest i morgen, torsdag.
Computerworld følger op på sagen.
Læs også: Stikprøver afslører: Datasikkerheden sejler i danske kommuner og regioner