BREAKING:Region Syddanmark skal betale historisk stor bøde for grove overtrædelser af GDPR

Artikel top billede

Sikkerheden halter hos myndighederne

Klumme: Ambitionerne for det digitale samfund er høje. Det øger kravene til informationssikkerheden, så det ikke går ud over borgernes ret til beskyttelse af deres personoplysninger.

Datatilsynet får stadig mere travlt med at behandle overtrædelser af persondataloven.

I forrige weekend gik det for tredje år i træk atter galt i Gribskov Kommune. Den samme situation gør sig i øvrigt gældende i Gladsaxe Kommune.

I det hele taget tegner de danske kommuner sig for en synlig andel af det samlede antal indberettede sager i den offentlige forvaltning.

Antallet af sikkerhedshændelser blandt myndigheder, dvs. stat, regioner og kommuner, steg med 30 procent fra 2007 til 2008. Til sammenligning steg anvendelsen af digitaliserede serviceydelser kun med 21 procent i samme periode.

Den simple konklusion må være, at myndighederne bliver ringere til at beskytte de digitaliserede serviceydelser, jo flere der søsættes. Denne trussel øges, fordi adgangen til følsomme personoplysninger via myndighedernes hjemmesider er steget med 60 procent fra 2007 til 2008.

I den sammenhæng er det påfaldende, at Datatilsynets bevilling kun steg med 20 procent fra 2007 til 2008. Man kan derfor nemt komme til at tvivle på, om deres ressourcer så er tilstrækkelige, da en væsentlig del af deres opgave er at sikre opretholdelsen af persondataloven.

Hvem har ansvaret?

I forbindelse med Gladsaxe Kommunes overtrædelse af persondataloven udtalte økonomiudvalget i 2007:

"Åbenhed om kommunens aktiviteter prioriteres meget højt". Et noget overfladisk svar til de mange borgere, der har lovmæssig ret til og krav på beskyttelse af deres personoplysninger.

Gribskov Kommunes borgmester lovede allerede i 2007, at situationen ikke ville gentage sig. Det løfte holdt indtil forrige uge. På DR's spørgsmål om, hvordan det kunne ske igen, svarede borgmesteren, at det ikke var ham, men kommunens it-afdeling, som var årsag til problemet.

Ikke lige den grad af ansvarlighed, jeg forventer at møde hos en borgmester.

Til kommunernes forsvar kan man sige, at der i forbindelse med kommunalreformen er blevet lagt stadig flere væsentlige og personfølsomme opgaver over i deres regi.

Senest blev ansvaret for jobcentrene overgivet til kommunerne i august måned blandt andet med begrundelsen om at komme tættere på de ledige. Et prisværdigt ønske, men set i lyset af ovennævnte stærkt voksende risici for brud på personfølsomme oplysninger også risikofyldt.

Behov for skrappere krav

Lige nu arbejder Digital Sundhed, som danner rammen om digitaliseringen af det danske sundhedsvæsen, med at give alle behandlere, f.eks. praktiserende læger, speciallæger og hospitaler, lettere adgang til patientoplysninger på tværs af sundhedssystemet og geografi.

En sådan løsning forudsætter ligeledes kommunernes aktive involvering og ansvar.

Med disse nye og for så vidt spændende udfordringer må det være på høje tid, at staten pålægger kommunerne at indføre skrappere krav til at beskytte borgernes personfølsomme oplysninger.

Siden 2007 har staten skullet efterleve standarden for informationssikkerhed, DS 484. Hvorfor stilles der ikke krav til kommunerne om, at de skal efterleve den eller den internationale variant ISO/IEC 27001 og sågar certificeres efter en af disse?

Det samme kunne i øvrigt gøres gældende for andre dele af den offentlige forvaltning, som i betydelig grad arbejder med personfølsomme oplysninger.

Niels Madelung er projektchef hos Fonden Dansk Standard, certificeret informationssikkerhedsleder og medredaktør af revisionen af ISO/IEC-standarden 27002:2005.

Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere