Drøje persondata-hug fra Datatilsynet til syv ud af otte statslige myndigheder

Det står sløjt til med efterlevelsen af persondataloven hos en stribe myndigheder, som Datatilsynet har kigget efter i sømmene.

Datatilsynet har ført tilsyn med otte statslige myndigheder. Hos syv af myndighederne er der problemer med at efterleve persondataloven.

Det fremgår af en nyhed på Datatilsynets hjemmeside.

»Vores undersøgelse er fokuseret på en række af de grundlæggende pligter: Man skal have sikkerhedsregler og aftaler med sine databehandlere, og man skal foretage tilsyn og påse, at sikkerheden er på plads, både i eget hus og hos eksterne databehandlere. Sager som CSC-hackersagen har vist, at netop sikkerheden hos databehandlerne er rigtig vigtig,« udtaler leder af Datatilsynets tilsynsenhed kontorchef Jesper Husmer Vang ifølge nyheden på Datatilsynets hjemmeside.

'Meget kritisabelt'

De drøjeste persondatahug får Beskæftigelsesministeriet, Sundheds- og Ældreministeriet, Vejdirektoratet og Sundhedsdatastyrelsen. Her udtaler Datatilsynet kritikken 'meget kritisabelt'.

»Hos disse myndigheder har Datatilsynet konkluderet, at der er meget omfattende mangler i efterlevelsen af persondataloven på de områder, som var omfattet af tilsynet,« står der i nyheden på Datatilsynets hjemmeside.

Et nærmere kig i begrundelsen for kritikken af de fire statslige myndigheder viser, at omdrejningspunktet er problemer i forhold til de samme fire punkter - her med afsæt i Sundhedsdatastyrelsen:

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  • At Sundhedsdatastyrelsen ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  • At Sundhedsdatastyrelsen ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  • At Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  • At Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

'Kritisabelt'

Kritikken 'kritisabelt' er udtalt til tre statslige myndigheder: Udlændinge- og Integrationsministeriet, Rigspolitiet og Rigsadvokaten.

»Hos disse myndigheder er der efter tilsynets opfattelse omfattende mangler i efterlevelsen af persondataloven på de områder, som tilsynet omfattede,« fremgår det af Datatilsynets hjemmeside.

Der er også en enkelt af de otte myndigheder, der har klaret sig rigtig godt. Det er Udbetaling Danmark, hvor Datatilsynet ikke har »konstateret nogen mangler i efterlevelsen af persondataloven på de områder, som tilsynet omfattede«.

På Datatilsynets hjemmeside står det i øvrigt at læse, at tilsynet med de otte statslige myndigheder blev foretaget i efteråret 2016. Altså for et års tid siden. Vi har spurgt Datatilsynet, om der ikke skulle have stået 2017. Det skulle der ikke.

»Udtalelserne har været næsten et år undervejs. Det skyldes bl.a., at Datatilsynet har måttet stille mange spørgsmål flere gange og har måttet stille en lang række supplerende spørgsmål mv.,« oplyser Jesper Husmer Vang i en mail til Version2.

Læs Sundhedsdatastyrelsens svar:
Styrelse efter hård kritik fra Datatilsynet: Sundhedsdata har ikke været i fare

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andy Fischer

Datatilsynet undskylder et års sagsbehandlingstid med, at de skulle stille opfølgende spørgsmål?!? Prøv selv at læse tilsynsrapporterne igennem, og vurdér om det burde tage et år, selv med opfølgende spørgsmål og træge myndigheder.

Mit bud er, at Datatilsynet mangler enhver evne til at arbejde målrettet og struktureret, og man kan kun frygte hvad der sker når forordningen kommer på banen i 2018. Nedlæg lortet, og opret noget som faktisk er opgaven voksen.

  • 5
  • 2
Anne-Marie Krogsbøll

"...man skal foretage tilsyn og påse, at sikkerheden er på plads..."

Hvad dækker dette? Hvordan fører man tilsyn? Er det nok at spørge databehandleren, om denne overholder kontrakt, love og regler? For i så fald er det et slag i luften - hvilken databehandler vil svare, at det gør man ikke?

En ting er, at man ikke passer ordentligt på vores data og privatliv. Men oven i det kommer, at man lyver for os om det. Den ene gang efter den anden skal vi høre på bræk og braller om, hvor godt det offentlige passer på vore data - hvilket jo er en lodret løgn, al den stund, at det ikke er første - og garanteret heller ikke sidste - gang, at Datatilsynet må ud med meget krads kritik. Lige meget hjælper det - næste år er det det samme.

Alligevel er jeg sikker på, at vi i morgen eller nærmeste fremtid i en eller anden anledning igen skal høre Sophie Løhde, Region Hovedstaden eller en eller anden datagrådig forsker påstå, at der er styr på vore data - hvilket efter al sandsynlighed i bedste fald er et spørgsmål om uvidenhed eller meget dygtigt spin - i værste fald lodret løgn.

Man lyver for befolkningen - eks. ved undladelsessynder. Eks. får deltagerne i projekt-sexus i deltagerinformationsmaterialet at vide, at data opbevares på en server hos Sundhedsdatastyrelsen (i sig selv i følge ovenstående et gys) - men sandheden er, at de opbevares på en server hos TeleCity i Tyskland. Hvad indebærer det så at føre tilsyn med data der? Har Datatilsynet planer om at besigtige databehandlere i udlandet og sikre, at vore data behandles forsvarligt der? Jeg tvivler.

  • 7
  • 0
Peter Lind

Er det nok at spørge databehandleren, om denne overholder kontrakt, love og regler? For i så fald er det et slag i luften - hvilken databehandler vil svare, at det gør man ikke?

Og af samme årsag vil du nok finde at et minimumskrav er at man har fået dokumentation for det. Afhængigt af omfanget kan det også være et krav at der har været uafhængig revision af tilsynet.

  • 0
  • 0
Gert Madsen

Mit bud er, at Datatilsynet mangler enhver evne til at arbejde målrettet og struktureret


Jeg synes din kritik var relevant, hvis ikke det var åbenlyst, at Datatilsynet ikke har fået tildelt tilstrækkelige resourcer til at varetage sine opgaver.
Man skulle hellere bruge kræfter på at skose de politikere, som ikke vil give Datatilsynet tilstrækkelige kræfter, og som i visse tilfælde ikke ser sig for gode til at undsige Datatilsynet, når de påpeger ulovligheder.

  • 3
  • 0
Anne-Marie Krogsbøll

Og af samme årsag vil du nok finde at et minimumskrav er at man har fået dokumentation for det. Afhængigt af omfanget kan det også være et krav at der har været uafhængig revision af tilsynet.


Har nogen erfaring med, hvordan den slags forløber ude i virkeligheden? Hvor tit sker det, at der afkræves dokumentation? Bliver det håndhævet? Kan nogen fortælle, hvorledes en evt. ekstern revision foregår, og hvad den munder ud i? En nogenlunde detaljeret gennemgang af de faktiske forhold, eller blot en erklæring på et par linjer om, at alt er i orden?

  • 1
  • 0
Log ind eller Opret konto for at kommentere