Efter Version2-artikel: Datatilsynet beder Region Syddanmark om redegørelse

Illustration: Baramee, BigStock
Region Syddanmark skal sikre sig, at regionens sundhedsdata bliver opbevaret og behandlet sikkert og korrekt.

Datatilsynet går nu ind i sagen om, at Region Syddanmark ikke har ført et eneste tilsyn med Rambølls spørgeskemaservice SurveyXact, der indsamler sundhedsoplysninger på regionens borgere.

Det sker efter, at Version2 satte fokus på sagen.

»Jeg kan oplyse, at Datatilsynet på baggrund af medieomtale i Version2 er blevet bekendt med, at Region Syddanmark angiveligt ikke påser sikkerheden hos Rambøll, som ifølge medieomtalen skulle være regionens databehandler i forbindelse med en spørgeskema-service, hvori der behandles sundhedsdata,« skriver Katrine Valbjørn Trebbien, specialkonsulent i Datatilsynet, i en mail til Version2.

Hun forklarer, at Datatilsynet derfor nu er gået ind i sagen om, at Region Syddanmark ikke har ført tilsyn .

Læs også: Region Syddanmark lægger sig fladt ned: Har ikke ført tilsyn med sundhedsdata

Persondatalovens § 42, stk. 1, stiller krav om, at en dataansvarlig, som bruger en databehandler, skal sikre sig, at databehandleren kan træffe de i persondatalovens § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og også påse, at dette sker.

»At den dataansvarlige skal påse sikkerhedsforanstaltningerne hos databehandleren er således et udtrykkeligt krav i persondataloven og betyder, at den dataansvarlige ikke bare kan overlade det til databehandleren at sikre datasikkerheden, men at den dataansvarlige også aktivt skal påse, at databehandleren rent faktisk gør det,« skriver Katrine Valbjørn Trebbien

Det er den samme paragraf bl.a. Statens Serum Institut heller ikke lever op til.

»Datatilsynet afventer nu regionens redegørelse, hvorefter vi vil behandle sagen,« skriver hun.

Næppe levet op til forventninger

Version2 talte i den originale historie med Nicolai Arvedsen, funktionschef i Region Syddanmark, og han fortalte dengang:

»Det har ikke været muligt at finde dokumentation for, at vi har ført tilsyn med leverandørens overholdelse af databehandleraftalen, så det har vi formodentlig ikke,« og han tilføjede:

»Man kan dermed sige, at vi næppe i tilstrækkelig grad har levet op til Datatilsynets forventninger. Det har ikke tidligere haft tilstrækkeligt fokus.«

Hvorvidt Region Syddanmark lever op til Datatilsynets forventninger, får funktionschefen nu altså svar på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
Anne-Marie Krogsbøll

"Det har ikke været muligt at finde dokumentation for, at vi har ført tilsyn med leverandørens overholdelse af databehandleraftalen, så det har vi formodentlig ikke,"

Så ikke nok med, at man "formodentligt" ikke har ført tilsyn - man har åbenbart heller intet styr på, hvad man har af databehandlere, og ingen plan for, hvordan man vil føre tilsyn med dem. For hvis man havde det, ville man også have et overblik over, om man har ført tilsyn eller ej, og hvem der står næst på listen til at skulle have tilsyn.

Det er jo meget foruroligende, hvis det er standarden i det offentlige (hvilket jeg på basis af diverse aktindsigter har en fornemmelse af, at det er ). Det er jo umuligt at undgå den konklusions, at datasikkerhed stadig nok står allernederst på diverse offentlige "to do"-liter.

Nu har vi i mange år hørt på den evige sang om det offentliges høje standard på dette punkt. Enten er politikerne totalt udvidende, eller også taler de mod bedre vidende. Så hvorfor skulle vi dog tro på de forsikringer, vi netop i øjeblikket - i forbindelse med regeringens vækststrategi - tudes ørerne fulde med, med det formål at få os til at sænke paraderne overfor diverse amokløbende offentlig dataregistrering og videregivelse, såsom "Det Nationale Genom Center"?

Hvis de virkeligt mente noget med, at det fremover skal andre boller på suppen, så havde man startet der, med at få styr på datasikkerheden rundt om i det offentlige. Når man i stedet starter med at sætte de nye megaprojekter i søen, i stedet for at få fundamentet af datasikkerhed, etik og lovgivning på plads først, så er det i mine øjne udtryk for, at skåltalerne om datasikkerhed stadig ikke er andet end netop det : Skåltaler.

I samme øjeblik politikere, topembedsmænd, lobbyister og forskere har fået deres nye kæmpeprojekter igennem, så ryger datasikkerheden ned på bagerste side igen - for den er og bliver kun i vejen, når man gerne vil i gang med at sælge den danske dataguldåre til grådige golddiggers af enhver art.

Mogens Nørgaard har netop i dag et munter/tragisk indlæg om dette her:
https://www.computerworld.dk/art/242203/mogens-noergaard-data-diktatoren...

Efterhånden synes jeg, at man må kunne sidestille hele det offentliges håndtering af datasikkerheden med bankernes hvidvask af penge. Data bevæger sig - med det offentliges fulde velsignelse - ad utallige snørklede og uigennemskuelige veje rundt i hele verden - og derved opdager ingen borgere, at deres privatliv videregives til alle mulige formål, som ikke tåler dagens lys.

Både Norge og Sverige har haft deres skandaler, hvor det er kommet frem, at data ad omveje er havnet i uautoriserede hænder i udlandet. I Danmark gider vi slet ikke forsøge at holde styr på den slags.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder