Danmarks Statistik: Vi var ikke herre over årelang forsinkelse af datasikkerhed

Illustration: leowolfert/Bigstock
Danmarks Statstik har fået kritik af Rigsrevisionen og efterfølgende i pressen for at være for længe om at leve op til nødvendige sikkerhedskrav. Men en stor del af tiden skyldes måneders ventetid på svar fra Datatilsynet.

Tre år er for lang tid at bruge på at finde ud af, om man lever op til persondataloven. Efter at være blevet adspurgt i 2011 har Danmarks Statistik først i år fået sikkerhed for, at der skal laves ting om i den nationale statistikbank. Det kostede i sidste uge kritik fra Rigsrevisionen.

Men Danmarks Statistik bærer ikke hele ansvaret for den lange arbejdstid. Institutionen har selv måttet døje med måneders ventetid fra Datatilsynet, som skulle fortælle, om reglerne var overholdt.

I løbet af 2013 lå bolden samlet set hos Danmarks Statistik i omkring to måneder. Resten af tiden ventede institutionen på svar fra Datatilsynet. Det fremgår af Danmarks Statistiks egen tidslinje over forløbet, som over for Version2 ikke blev anfægtet af Datatilsynet.

En enkelt gang går der seks måneder uden lyd fra Datatilsynet.

»Der sker ikke noget i den periode, så vidt vi er orienteret. Jeg går ud fra, det har skyldtes travlhed, men det er et gæt. Vi får ikke noget at vide,« siger Jørgen Elmeskov, der er rigsstatistiker hos Danmarks Statistik.

Troede, de levede op til kravene

Jørgen Elmeskov medgiver, at Danmarks Statistik bærer sin del af ansvaret for den lange proces – særligt i starten af forløbet, hvor man er sene til at tage kontakt til Datatilsynet. Men rigsstatistikeren forklarer, at et møde i januar 2012 efterlod institutionen med det indtryk, at man havde sit på det rene.

På mødet skulle det afklares, om Danmarks Statistik fulgte sikkerhedsbekendtgørelsen. I referatet, som ifølge Jørgen Elmeskov blev godkendt af Datatilsynet, står der, at »Datatilsynet tog Danmarks Statistiks orientering til efterretning.«

Dertil kommer, at Danmarks Statistik har været overbevist om, at de har været omfattet af sikkerhedsbekendtgørelsens § 19 stk. 3, der er en 14 år gammel undtagelse, som netop drejer sig om statistikproduktion. Først i sommeren 2014 står det ifølge Jørgen Elmeskov klart, at Danmarks Statistik skal ændre praksis.

»Vi var stadig under det klare indtryk, at vi levede op til kravene. Og efter min mening havde vi god grund til at tro det. Det, at der går lang tid, betyder, at der går tilsvarende lang tid, før vi begynder, at se på, hvad der skal ændres,« forklarer Jørgen Elmeskov.

Rigsrevisionens kritik af Danmarks Statistik handler netop om, at der går så lang tid, før der kommer afklaring om, hvorvidt institutionen lever op til kravene i persondataloven. Men den lange proces har Danmarks Statistik altså ikke forårsaget alene.

Jørgen Elmeskov vil ikke pege fingre ad Datatilsynet, fordi han mener, der kan være mange legitime grunde til, at svartiden er lang. Men omvendt har ventetiden haft konsekvenser.

»Det er jo klart, at det har været op ad bakke for os. Jeg vil ikke sidde her og skyde på en institution, som formentlig er udsat for et betydeligt arbejdspres, men det er klart, at den lange svartid har været med til at trække processen ud,« lyder det fra rigsstatistikeren.

Venter på svar

Efter afgørelsen fra Datarådet, om at Danmarks Statistiks logning er utilstrækkelig, gik institutionen i gang med at finde ud af, hvad der skulle ændres. Den 26. august sender Danmarks Statistik sin løsning til godkendelse hos Datatilsynet, men har endnu ikke modtaget svar.

»Det er frustrerende, for vi vil gerne i gang. Vi vil gerne have sagen ud af verden, så vi ser frem til, at vi får en tilkendegivelse fra Datatilsynet om, at vores tilgang er okay,« siger Jørgen Elmeskov.

Og det er ikke en mulighed at gå i gang med det samme, lyder det fra statistikchefen.

»Det er offentlige midler, vi taler om. Vi kan ikke tillade os at kaste et millionbeløb efter et nyt system uden en rimelig sikkerhed for, at det vil leve op til kravene.«

Kommitteret i Datatilsynet Birgit Kleis fortæller, at netop den lange svarfrist i år skyldes travlhed.

»Det skyldes et ressourcespørgsmål og et sagsbehandlerskift, som har gjort, at sagen har været i en venteposition,« fortæller hun.

Birgit Kleis vil godt love, at Danmarks Statistik får et svar inden for den nærmeste fremtid.

Meget arbejde tager tid

Birgit Kleis forklarer, at den lange ventetid i behandlingen forud for afgørelsen skyldes flere ting.

»Vi har måttet indhente oplysninger fra udlandet om, hvordan man gør i andre lande i forhold til logningsregler i statistikproduktion. Udenlandske instanser er ikke de hurtigste at få svar fra, så det har taget tid,« siger hun.

Dertil kommer, at tilsynet måtte undersøge statistik-institutionens forklaring om, at man var undtaget fra sikkerhedsbestemmelserne, hvilket man ikke fandt belæg for.

»En anden grund er, at der er meget arbejde. Det er ikke den eneste sag, vi har,« lyder det fra Birgit Kleis.

Rigsrevisionens kritik ledte i går til en artikel i Metroxpress, som blev citeret af andre medier. I artiklen fremgår det, at samtlige 450 medarbejdere har frit spil i den store nationale database. Men det er misvisende, mener Jørgen Elmeskov, fordi de enkelte medarbejdere kun har adgang til den specifikke datamængde, de skal bruge i deres arbejde. Og selvom logning nu skal gøres bedre, så er det ikke tilfældet, at der ikke eksisterer nogen som helst form for logning af adfærden rundt om i statistikbanken allerede.

»Det er det, der gør, at vi er så kede af sagen, som vi er. Vi modtager jo oplysninger fra borgerne om utrolig mange ting. Og det er helt væsentligt for vores forretningsmodel, at borgerne har tillid til, at vi behandler oplysningerne ordentligt, og at de ikke bliver lækket på den ene eller den anden måde,« siger Jørgen Elmeskov og tilføjer:

»Det er noget, der gør ondt,«

Tidlinje over forløbet:

-15. juni 2011: Rigsrevisionen (RR) anbefaler, 'at DST får afklaret, om man følger sikkerhedsbekendtgørelsens bestemmelser vedr. logning.'

-10. november 2011: DST inviterer Datatilsynet (DT) til et møde

-23. januar 2012: Møde mellem DST og DT. 'Datatilsynet tog Danmarks Statistiks orientering til efterretning.'

-13. juli 2012: DST sender referatet af mødet med DT til RR.

-14. august 2012: RR takker for afslutning på sagen.

-15. november 2012: RR genåbner sagen. 'Interesseret i at få oplyst, hvad der mere præcist ligger til grund for Datatilsynets accept af Danmarks Statistiks praksis.'

-30. november 2012: Telefonsamtale med RR. Sagen ligger hos DT.

-8. februar 2013: DST foreslår et møde om DST's logningspraksis snarest muligt.

-1. marts 2013: Svar fra DT med 8 spørgsmål.

-22. marts 2013: Svar fra DST på de 8 spørgsmål.

-27. september 2013: DT inviterer DST til møde om logning.

-10. oktober 2013: Møde hos DT.

-8. november 2013: DST sender de aftalte oplysninger til DT og foreslår tilføjelse til sikkerhedsbekendtgørelsen.

-3. marts 2014: Svar fra DT, som stiller otte yderligere spørgsmål.

-21. marts 2014: DST svarer på DT’s spørgsmål.

-4. juli 2014: Svar fra DT: DST bedes inden 15. august redegøre for, hvilke skridt DST agter at tage for at etablere logning efter sikkerhedsbekendtgørelsens § 19. Fristen blev senere udskudt til 1. sept.

-26. aug. 2014: DST's svar til DT/Datarådet, meddeler, at DST inden udgangen af 2015 vil implementere mere detaljeret logning. DST beder om en vurdering fra DT af, hvorvidt denne løsning er tilfredsstillende.

-31. okt. 2014: DST rykker for et svar fra DT, da en løsning vil medføre betydelige omkostninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Peter Stricker

Vi modtager jo oplysninger fra borgerne om utroligt mange ting. Og det er helt væsentligt for vores forretningsmodel at borgerne har tillid til, at vi behandler oplysningerne ordentligt, og at de ikke bliver lækket på den ene eller den anden måde

Jørgen Elmeskov gør desværre ikke rede for sammenhængen mellem borgernes tillid og Danmarks Statistiks forretningsmodel.

Mener han mon, at jeg kan frabede mig, at indgå i Danmarks Statistiks datagrundlag på baggrund af manglende tillid til deres datasikkerhed?

Er der andre offentlige myndigheder - eksempelvis SKAT - jeg kan nægte at udlevere personhenførbare oplysninger til med samme begrundelse?

  • 1
  • 0
Log ind eller Opret konto for at kommentere