Organisationer har 72 timer til at melde databrud - indberetningssystemet er ustabilt

Illustration: Elena Nichizhenova/Bigstock
Et it-system hos Erhvervsstyrelsen volder problemer for landets dataansvarlige. Systemet bruges til at indberette brud på persondatasikkerhed, men har været præget af ustabilitet og funktionsfejl, siden det blev taget i brug. Nu er en ny løsning på vej.

Det sidste, der er brug for, når man som dataansvarlig skal anmelde brud på persondatasikkerheden, er, at der er bøvl med indberetningssystemet.

Ikke desto mindre støder flere dataansvarlige i både den offentlige sektor og i private virksomheder på dette problem, når de skal give lyd om sikkerhedsbrud i det digitale indberetningssystem ved navn Virk Indberet. Det oplyser Datatilsynet til Version2.

Myndigheden bliver jævnligt kontaktet af dataansvarlige fra blandt andet banker og kommuner, der oplever it-bøvl og systemfejl under processen med indberetning, og ifølge Datatilsynet er problemerne ikke ligefrem ubetydelige for de dataansvarlige.

Problemerne betyder nemlig, at dataansvarlige skal bruge længere tid på at indberette sikkerhedshændelser, og i sidste ende kan det spænde ben for, at de dataansvarlige kan leve op til tidsfristen i GDPR.

»Det giver anledning til panderynker hos os, når vi har en ultimativ frist på 72 timer, fra man opdager et brud på persondatasikkerheden, til at der skal ligge en anmeldelse. I den forbindelse er det jo ikke så dejligt, hvis løsningen fejler, også selvom vi anviser andre muligheder for at indberette til os,« siger Allan Frank, der er it-sikkerhedsspecialist og jurist ved Datatilsynet.

Der har været problemer altid

Virk Indberet er en fælles digital løsning for anmeldelser og indberetninger af forskellig slags til det offentlige. Det er Erhvervsstyrelsen, som er ansvarlig for Virk Indberet, og som står for både udviklingen og den daglige drift af systemet.

Siden GDPR trådte i kraft sidste år, har brud på persondatasikkerheden skullet meldes til Datatilsynet med en digital blanket i Virk Indberet, men systemet har været præget af udfordringer lige fra starten, lyder det fra Datatilsynet.

»I al den tid vi har brugt løsningen – siden 25. maj 2018 – har der været tilfælde af ustabilitet. Vi er ikke derhenne, hvor der er tale om total nedlukning af servicen, men folk derude oplever problemer, og vi får jævnligt tilbagemeldinger om, at løsningen eller dele af den går ned eller ikke virker,« siger Allan Frank.

Han tilføjer, at det blandt andet er banker og landets kommuner, som har kontaktet GDPR-myndigheden, fordi de har oplevet, at »der er et eller andet galt« med Erhvervsstyrelsens it-løsning, når de har skullet indberette brud på persondatasikkerheden.

»Dem, der kontakter os om problemerne med blanketløsningen, er jo ofte nogle af dem, der har flere brud på persondatasikkerheden og derfor bruger løsningen ofte. De ved godt, hvordan funktionaliteten er i den, når den virker,« siger han.

Hos Foreningen af Kommunale It-chefer påpeger formand Henrik Brix, at det er vigtigt med driftsstabilitet på en løsning som Virk Indberet. Derfor er det ikke optimalt, hvis de dataansvarlige oplever benspænd i form af bøvl med systemet, når de skal indberette sikkerhedsbrud.

»Vi er udsat for krav om, at vi skal indberette brud på persondatasikkerheden indenfor 72 timer, uanset om det er dag, nat, helligdage eller ferie,« siger Henrik Brix og tilføjer, at det er problematisk, at kommunerne skal have en vagtordning til indberetning, hvis den digitale løsning til formålet ikke er tilgængelig.

»Ikke kun udfald og ustabilitet«

Problemerne med Virk Indberet kulminerede i slutningen af maj måned i år, hvor systemet over flere dage var mere eller mindre utilgængeligt for landets dataansvarlige. Det fik telefonerne til at bimle hos Datatilsynet, som derfor tog kontakt til Erhvervsstyrelsen for at give besked om fejlene i systemet og få svar på, hvad der var galt.

»I forhold til den 28. maj i år har vi fået at vide, at der var nogle komponenter, der skulle skiftes, da disse var defekte. Løsningen (til at lave digital indberetning, red.) virkede ikke, så reelt set var der tale om utilgængelighed i den periode. Det var ikke kun udfald og ustabilitet,« siger Allan Frank fra Datatilsynet.

Problemet fra maj blev løst ved at udskifte defekte komponenter, og selvom Virk Indberet er blevet mere stabilt siden da, modtager Datatilsynet stadig henvendelser fra dataansvarlige, der fortæller om ustabilitet og problemer med funktionaliteten i Erhvervsstyrelsens Virk Indberet-system.

»Der kommer stadig henvendelser omkring de her udfordringer. I sidste uge (forrige uge, red.) var der et par stykker, som kontaktede os om problemer med blanketten. Men det kommer lidt i stimer, og jeg kan se, at der sidst har været noget omkring slutningen af juni måned. Deromkring var der også en del henvendelser,« siger han og tilføjer, at der blandt andet er flere jyske kommuner, som er gået sammen om at skrive til myndigheden om deres problemer med systemet.

»NemID i mere end 30 minutter«

Version2 har taget kontakt til Erhvervsstyrelsen med en række spørgsmål om problemstillingen, og i en mail til Version2 skriver styrelsens pressekontakt, at man er opmærksom på, at der er problemer med Virk indberet.

»Styrelsen er bekendt med, at enkelte brugere har oplevet problemer med at indberette brud på persondatasikkerheden til Datatilsynet. Problemet opstår, når brugere er logget ind med deres NemID i mere end 30 minutter. Styrelsen er i dialog med Datatilsynet med henblik på at få fulgt op på og rette uhensigtsmæssigheder i systemet,« skriver Erhvervsstyrelsens pressekontakt i en mail til Version2 og fortsætter:

»Det er vigtigt at understrege, at langt de fleste brugere ikke oplever problemer, og deres indberetninger bliver registreret korrekt. Hvis man oplever problemer, kan man altid kontakte Datatilsynet,« lyder det i mailen til Version2.

Erhvervsstyrelsen har i løbet af sidste uge modtaget 110 indberetninger til Datatilsynet gennem Virk Indberet. To indberettere har fået en fejlmeddelelse i forbindelse med indsendelsen, men ifølge Erhvervsstyrelsen er deres indsendelser dog stadig nået frem til Datatilsynet.

Nyt system, tak

Hos Datatilsynet påpeger Allan Frank, at der har været god dialog med Erhvervsstyrelsen om problemerne, og at de bekymrede dataansvarlige snart kan se frem til en løsning.

»Der bliver arbejdet på at lave en ny version af den blanket-motor, som driver det her. Erhvervsstyrelsen har oplyst til os, at de har planer om at gå over til løsningen i løbet af efteråret, så vi satser på, at det løser problemet,« siger Allan Frank.

Han håber på, at efterårets ændringer kan rydde ustabilitet og problemer af vejen i løsningen, så de dataansvarlige kan få lettere ved at overholde GDPR-kravene om at give lyd, når der sker et brud på persondatasikkerheden.

»Det er klart uhensigtsmæssigt i forhold til de dataansvarlige, hvis de skal bruge to eller tre gange så lang tid på at komme igennem med en indberetning. Vi håber, at den nye løsning har større stabilitet og har bedre svar- og oppetider,« siger Allan Frank.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere