Efter Version2-artikel: Datatilsynet beder Region Syddanmark om redegørelse

18. januar 2018 kl. 13:501
Efter Version2-artikel: Datatilsynet beder Region Syddanmark om redegørelse
Illustration: Baramee, BigStock.
Region Syddanmark skal sikre sig, at regionens sundhedsdata bliver opbevaret og behandlet sikkert og korrekt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet går nu ind i sagen om, at Region Syddanmark ikke har ført et eneste tilsyn med Rambølls spørgeskemaservice SurveyXact, der indsamler sundhedsoplysninger på regionens borgere.

Det sker efter, at Version2 satte fokus på sagen.

»Jeg kan oplyse, at Datatilsynet på baggrund af medieomtale i Version2 er blevet bekendt med, at Region Syddanmark angiveligt ikke påser sikkerheden hos Rambøll, som ifølge medieomtalen skulle være regionens databehandler i forbindelse med en spørgeskema-service, hvori der behandles sundhedsdata,« skriver Katrine Valbjørn Trebbien, specialkonsulent i Datatilsynet, i en mail til Version2.

Hun forklarer, at Datatilsynet derfor nu er gået ind i sagen om, at Region Syddanmark ikke har ført tilsyn .

Artiklen fortsætter efter annoncen

Persondatalovens § 42, stk. 1, stiller krav om, at en dataansvarlig, som bruger en databehandler, skal sikre sig, at databehandleren kan træffe de i persondatalovens § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og også påse, at dette sker.

»At den dataansvarlige skal påse sikkerhedsforanstaltningerne hos databehandleren er således et udtrykkeligt krav i persondataloven og betyder, at den dataansvarlige ikke bare kan overlade det til databehandleren at sikre datasikkerheden, men at den dataansvarlige også aktivt skal påse, at databehandleren rent faktisk gør det,« skriver Katrine Valbjørn Trebbien

Det er den samme paragraf bl.a. Statens Serum Institut heller ikke lever op til.

»Datatilsynet afventer nu regionens redegørelse, hvorefter vi vil behandle sagen,« skriver hun.

Næppe levet op til forventninger

Version2 talte i den originale historie med Nicolai Arvedsen, funktionschef i Region Syddanmark, og han fortalte dengang:

»Det har ikke været muligt at finde dokumentation for, at vi har ført tilsyn med leverandørens overholdelse af databehandleraftalen, så det har vi formodentlig ikke,« og han tilføjede:

»Man kan dermed sige, at vi næppe i tilstrækkelig grad har levet op til Datatilsynets forventninger. Det har ikke tidligere haft tilstrækkeligt fokus.«

Hvorvidt Region Syddanmark lever op til Datatilsynets forventninger, får funktionschefen nu altså svar på.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
18. januar 2018 kl. 15:42

"Det har ikke været muligt at finde dokumentation for, at vi har ført tilsyn med leverandørens overholdelse af databehandleraftalen, så det har vi formodentlig ikke,"

Så ikke nok med, at man "formodentligt" ikke har ført tilsyn - man har åbenbart heller intet styr på, hvad man har af databehandlere, og ingen plan for, hvordan man vil føre tilsyn med dem. For hvis man havde det, ville man også have et overblik over, om man har ført tilsyn eller ej, og hvem der står næst på listen til at skulle have tilsyn.

Det er jo meget foruroligende, hvis det er standarden i det offentlige (hvilket jeg på basis af diverse aktindsigter har en fornemmelse af, at det er ). Det er jo umuligt at undgå den konklusions, at datasikkerhed stadig nok står allernederst på diverse offentlige "to do"-liter.

Nu har vi i mange år hørt på den evige sang om det offentliges høje standard på dette punkt. Enten er politikerne totalt udvidende, eller også taler de mod bedre vidende. Så hvorfor skulle vi dog tro på de forsikringer, vi netop i øjeblikket - i forbindelse med regeringens vækststrategi - tudes ørerne fulde med, med det formål at få os til at sænke paraderne overfor diverse amokløbende offentlig dataregistrering og videregivelse, såsom "Det Nationale Genom Center"?

Hvis de virkeligt mente noget med, at det fremover skal andre boller på suppen, så havde man startet der, med at få styr på datasikkerheden rundt om i det offentlige. Når man i stedet starter med at sætte de nye megaprojekter i søen, i stedet for at få fundamentet af datasikkerhed, etik og lovgivning på plads først, så er det i mine øjne udtryk for, at skåltalerne om datasikkerhed stadig ikke er andet end netop det : Skåltaler.

I samme øjeblik politikere, topembedsmænd, lobbyister og forskere har fået deres nye kæmpeprojekter igennem, så ryger datasikkerheden ned på bagerste side igen - for den er og bliver kun i vejen, når man gerne vil i gang med at sælge den danske dataguldåre til grådige golddiggers af enhver art.

Mogens Nørgaard har netop i dag et munter/tragisk indlæg om dette her:https://www.computerworld.dk/art/242203/mogens-noergaard-data-diktatorens-fem-stensikre-forudsigelser-om-den-nye-eu-persondatalovgivning

Efterhånden synes jeg, at man må kunne sidestille hele det offentliges håndtering af datasikkerheden med bankernes hvidvask af penge. Data bevæger sig - med det offentliges fulde velsignelse - ad utallige snørklede og uigennemskuelige veje rundt i hele verden - og derved opdager ingen borgere, at deres privatliv videregives til alle mulige formål, som ikke tåler dagens lys.

Både Norge og Sverige har haft deres skandaler, hvor det er kommet frem, at data ad omveje er havnet i uautoriserede hænder i udlandet. I Danmark gider vi slet ikke forsøge at holde styr på den slags.