Region Nordjylland: Vi aner ikke om vores tilsyn med databehandlere lever op til loven

14 kommentarer.  Hop til debatten
Region Nordjylland: Vi aner ikke om vores tilsyn med databehandlere lever op til loven
Illustration: gstockstudio, BigStock.
Vi kan ikke tolke loven, så vi bruger vores sunde fornuft, forklarer regionen.
person
11. januar 2018 kl. 11:56
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Region Nordjylland er på ingen måde sikker på, om regionen lever op til i persondataloven - nærmere bestemt den, som kræver, at man holder tilsyn med sine databehandlere.

Det skriver Computerworld.

Ifølge Region Nordjylland selv er begrundelsen, at man savner information om, hvordan man fører denne kontrol:

»Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft,« siger Michael Lundsgaard Sørensen, kontorchef for it-forvaltning, drift og support i Region Nordjylland, til Computerworld.

Artiklen fortsætter efter annoncen

Ikke siden 2012

Computerworld har i en aktindsigt bedt om indblik i Region Nordjyllands kontroller med sine databehandlere fra 2012 til nu.

I et skriftligt svar oplyser regionen i første omgang, at man ikke har foretaget nogen kontroller af sikkerheden hos regionens leverandører, hvorfor Region Nordjylland ikke kan give aktindsigt i den forbindelse.

Senere retter regionen sit svar til, at man har udført kontroller, men at man ikke ved, om de lever op til lovkravet.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Datatilsynet oplyser til Computerworld, at det obligatoriske tilsyn stort set kan klares ved at bede virksomhederne dokumentere, at de overholder databehandleraftalen.

14 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
14
Claus Bobjerg Juul
11. januar 2018 kl. 15:57

Min erfaring med de årlige revisorerklæringer vedrørende (IT-)sikkerhed er at de ikke har haft fingrene i teknik og derfor ikke ved hvordan teknikken har det. De har kontrolleret papirer og ud fra det udtalt sig. Det er muligt det har ændret sig inden for det seneste år, men jeg tvivler. Indtil det ændrer sig, jeg ligeglad med dem.

Der mener jeg du rammer ned i det jeg skrev lige før, "vores manglende vilje til at sagsøg" og "gennemføre en retsag inden for en rimelig tid", men det er jeg sikker på ændre sig, for på et eller andet tidspunkt kommer der så klokkeklar en sag, der vil kræve at politikkerne handler eller at domstolene gør.

  • more_vert
    • insert_linkKopier link
13
Mads Bendixen
11. januar 2018 kl. 15:45

Enron's revisor blev sagsøg, det sammen med it-factory's revisor, fordi de udtalte sig fejlagtige og ikke havde undersøgt forholdende godt nok.

Men det var om økonomi? - Ikke (IT-)sikkerhed.

Min erfaring med de årlige revisorerklæringer vedrørende (IT-)sikkerhed er at de ikke har haft fingrene i teknik og derfor ikke ved hvordan teknikken har det. De har kontrolleret papirer og ud fra det udtalt sig. Det er muligt det har ændret sig inden for det seneste år, men jeg tvivler. Indtil det ændrer sig, jeg ligeglad med dem.

  • more_vert
    • insert_linkKopier link
12
Claus Bobjerg Juul
11. januar 2018 kl. 15:45

slags erklæringer er bedre end ingenting.

Jeg mener at det er vores (dem som bliver påført skade) manglende vilje til at sagsøge dem som ikke gør deres arbejde godt nok. En del af problemer er i mine øjne at føre en retssag er en meget omkostningenfuld sag, hvor den med den største pengepung har bedre forhold end den med den lille pengepung, samt at retssystemet ikke er gearet til at gennemføre en retsag inden for en rimelig tid, hvilket betyder at en dom bliver irrelevant, dagen efter den er afsagt.

  • more_vert
    • insert_linkKopier link
11
Claus Bobjerg Juul
11. januar 2018 kl. 15:38

Klar lovgivning og klare krav

Lovgivningen kan desværre ikke være 100% klar, for er den det vil udviklingen overhale loven hurtigt. Lovgivningen er nød til at være lidt blød så den er holdbar i længden.

Kravene kan være klare (hvis vi mener det samme), de de skal være fortolkningen af loven i den nutidige kontekst den eksistere i, og fortolkningen kan ændre sig som tiden går. Datatilsynet fortolker loven og hvis klienten er uenig kan sagen tages for en dommer.

  • more_vert
    • insert_linkKopier link
10
Anne-Marie Krogsbøll
11. januar 2018 kl. 15:34

Mads Bendixen:

Klar lovgivning og klare krav. Du kan ikke få teknik til at være vægelsindet eller ukonkret.

Uklare formuleringer med elastik i metermål gør det selvfølgelig ikke nemt. Og der må vi hjælpe beslutningstagere og politikere med at tage denne del alvorligt ved simpelthen at lægge pres på ved at sabotere indsamling og behandling af vore oplysninger, når det er muligt - indtil de har fattet, at det er noget, der skal tages alvorligt. Men fra uklare formuleringer og så til åbenbart slet ikke at have bekymret sig om sikkerhed, som det lyder til i flere regioner - der synes jeg altså ikke, at det er en gyldig undskyldning. Hvad synes de pågældende sikkerhedsansvarlige selv ville være en god måde at kontrollere sikkerheden på? De må vel have gjort sig nogle tanker - er det ikke deres job? Vi hører jo stort set dagligt politikere, forskere og embedsmænd bavle løs om den gode datasikkerhed i Danmark. Hvad mener de med disse udtalelser? Er de fejlinformerede, eller taler de bevidst mod bedre vidende? Det er i hvert fald ikke til at holde ud at høre på mere. Et nyligt eksempel: https://www.altinget.dk/artikel/akkrediteringsinstitution-faa-styr-paa-uddannelsesdataen

Claus Juul:

Det mener jeg ikke er korrekt, hvis revisor udtaler sig om noget og det viser sig at det ikke holder vand, kan revisor gøres ansvarlig, da revisor skal vælge en metode der kan forsikre revisor om at forholdende er retvisende.

Det glæder mig, at der er nogen, der trods alt synes, at den slags erklæringer er bedre end ingenting.

"Bedre end ingenting" er ganske vist ikke særligt godt. Men hvad gør vi, hvis der ikke kan findes en måde at føre rimelige kontroller med behandling og opbevaring af vore allermest private data? Så er der vel kun to alternativer:

  1. Vi lever med, at det simpelthen er slut med privatliv ift. statsmagten og erhvervsinteresser.
  2. Vi må holde helt op med at indsamle flere persondata end højest nødvendigt for, at samfundet kan fungere.

Vi sølvpapirshatte - og ganske mange borgere gætter jeg på - kan ikke leve med den første løsning.

Statsapparatet og diverse forskere kan ikke leve med den anden løsning.

Vi må jo så sørge for, at det bliver løsning nr. 2, der vinder - ellers bliver her ikke til at holde ud at være.

  • more_vert
    • insert_linkKopier link
9
Claus Bobjerg Juul
11. januar 2018 kl. 14:58

De revisionserklæringer er ikke papiret værd de er skrevet på

Det mener jeg ikke er korrekt, hvis revisor udtaler sig om noget og det viser sig at det ikke holder vand, kan revisor gøres ansvarlig, da revisor skal vælge en metode der kan forsikre revisor om at forholdende er retvisende.

det betyder bla. at hvis der opdages uoverensstemmelser mellem fx procedure og faktiske forhold (stikprøve), skal revisor udtage flere stikprøver for at afgøre om det er en enlig svale eller systematisk svigt.

Enron's revisor blev sagsøg, det sammen med it-factory's revisor, fordi de udtalte sig fejlagtige og ikke havde undersøgt forholdende godt nok.

  • more_vert
    • insert_linkKopier link
8
Mads Bendixen
11. januar 2018 kl. 14:25

Men hvad er det så, der skal til, hvis disse ikke duer?

Klar lovgivning og klare krav. Du kan ikke få teknik til at være vægelsindet eller ukonkret. (Eller jo, Watson kan sikkert trænes op til at forstå det).

F.eks. dataportabilitet i GDPR. Det siger "Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv"

Hvad er f.eks. "almindeligt anvendt"? - Der mangler nogle konkrete, råd og vejledning til teknikken. Som det er nu, vil du som borger, risikere at få 3 forskellige formater, hvis du spørger 3 forskellige dataansvarlige. Og selvom de er "almindeligt anvendt", kan der være udgifter til software, for at kunne læse dem.

  • more_vert
    • insert_linkKopier link
7
Jørgen A Thomsen
11. januar 2018 kl. 14:24

Nej, og når som hos region Midtjylland i en aktindsigt på en revisionsrapport overstreger samtlige enkelttests foretaget, så kan man ikke vurdere om disse tests overhovedet er noget værd.

  • more_vert
    • insert_linkKopier link
4
Mads Bendixen
11. januar 2018 kl. 13:46

Hvis man ser sig omkring, så vil man se at der er mange firmaer der er i gang med at implementere GDPR, og hvis de ikke selv magter at fortolke lovstoffet, allierer de sig med en konsulent eller en advokat.

Men, forskellige konsulenter eller advokater, har forskellig opfattelse hvordan tingene skal fortolkes. Det er et helvede uden lige, at man ikke kan få et klart svar man kan stole på. Men det er hvad der sker, når der er elastikformuleringer som "tilstrækkelig grad".

  • more_vert
    • insert_linkKopier link
3
Anne-Marie Krogsbøll
11. januar 2018 kl. 13:45

Så vidt jeg ved, er en årlig revisionserklæring om data- og informationssikkerhed fra en uafhængig revisor i henhold til bestemte ISA-standarder en del af den standardkontrakt, som de fleste databehandlere skal underskrive. Så man kunne jo starte med at bede om disse årlige revisionserklæringer. Men man læser måske ikke selv de kontrakter, man laver med sine databehandlere, før man underskriver dem?

  • more_vert
    • insert_linkKopier link
2
Christian Nobel
11. januar 2018 kl. 13:36

Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol

En god begyndelse kunne jo være at læse selve forordningen, så man forstod de krav der er i den!

Hvis man ser sig omkring, så vil man se at der er mange firmaer der er i gang med at implementere GDPR, og hvis de ikke selv magter at fortolke lovstoffet, allierer de sig med en konsulent eller en advokat.

Det er utroligt at det offentlige ingen skrupler har med at kræve at private forstår og overholder love og regler, men når det er den anden vej rundt, så er det ren slendrian, eller måske direkte lovbrud, som f.eks. justitsministeren i forbindelse med logning.

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
11. januar 2018 kl. 13:06

Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol

Tag et kig på hvordan datatilsynet tidligere har udtalt sig, det er en god hjælp, måske ikke 100% dækkende, men en god hjælp.

  • more_vert
    • insert_linkKopier link