Region Nordjylland: Vi aner ikke om vores tilsyn med databehandlere lever op til loven

Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol

Tag et kig på hvordan datatilsynet tidligere har udtalt sig, det er en god hjælp, måske ikke 100% dækkende, men en god hjælp.

En god begyndelse kunne jo være at læse selve forordningen, så man forstod de krav der er i den!

Hvis man ser sig omkring, så vil man se at der er mange firmaer der er i gang med at implementere GDPR, og hvis de ikke selv magter at fortolke lovstoffet, allierer de sig med en konsulent eller en advokat.

Det er utroligt at det offentlige ingen skrupler har med at kræve at private forstår og overholder love og regler, men når det er den anden vej rundt, så er det ren slendrian, eller måske direkte lovbrud, som f.eks. justitsministeren i forbindelse med logning.

Så vidt jeg ved, er en årlig revisionserklæring om data- og informationssikkerhed fra en uafhængig revisor i henhold til bestemte ISA-standarder en del af den standardkontrakt, som de fleste databehandlere skal underskrive. Så man kunne jo starte med at bede om disse årlige revisionserklæringer. Men man læser måske ikke selv de kontrakter, man laver med sine databehandlere, før man underskriver dem?

Men, forskellige konsulenter eller advokater, har forskellig opfattelse hvordan tingene skal fortolkes. Det er et helvede uden lige, at man ikke kan få et klart svar man kan stole på.
Men det er hvad der sker, når der er elastikformuleringer som "tilstrækkelig grad".

De revisionserklæringer er ikke papiret værd de er skrevet på. F.eks. CSC har i årevis kunnet fremvise sådanne, selvom virkeligheden har været en anden.

Det giver ingen sikkerhed.

Jeg bøjer mig for sagkundskaben på det punkt - det var mest ment som kommentar til, at ikke engang det kan Region Nordjylland tilsyneladende - som et absolut minimum - finde ud af.

Men hvad er det så, der skal til, hvis disse ikke duer?

Nej, og når som hos region Midtjylland i en aktindsigt på en revisionsrapport overstreger samtlige enkelttests foretaget, så kan man ikke vurdere om disse tests overhovedet er noget værd.

Klar lovgivning og klare krav. Du kan ikke få teknik til at være vægelsindet eller ukonkret.
(Eller jo, Watson kan sikkert trænes op til at forstå det).

F.eks. dataportabilitet i GDPR. Det siger
"Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv"

Hvad er f.eks. "almindeligt anvendt"? - Der mangler nogle konkrete, råd og vejledning til teknikken.
Som det er nu, vil du som borger, risikere at få 3 forskellige formater, hvis du spørger 3 forskellige dataansvarlige. Og selvom de er "almindeligt anvendt", kan der være udgifter til software, for at kunne læse dem.

Det mener jeg ikke er korrekt, hvis revisor udtaler sig om noget og det viser sig at det ikke holder vand, kan revisor gøres ansvarlig, da revisor skal vælge en metode der kan forsikre revisor om at forholdende er retvisende.

det betyder bla. at hvis der opdages uoverensstemmelser mellem fx procedure og faktiske forhold (stikprøve), skal revisor udtage flere stikprøver for at afgøre om det er en enlig svale eller systematisk svigt.

Enron's revisor blev sagsøg, det sammen med it-factory's revisor, fordi de udtalte sig fejlagtige og ikke havde undersøgt forholdende godt nok.

Mads Bendixen:

Uklare formuleringer med elastik i metermål gør det selvfølgelig ikke nemt. Og der må vi hjælpe beslutningstagere og politikere med at tage denne del alvorligt ved simpelthen at lægge pres på ved at sabotere indsamling og behandling af vore oplysninger, når det er muligt - indtil de har fattet, at det er noget, der skal tages alvorligt. Men fra uklare formuleringer og så til åbenbart slet ikke at have bekymret sig om sikkerhed, som det lyder til i flere regioner - der synes jeg altså ikke, at det er en gyldig undskyldning. Hvad synes de pågældende sikkerhedsansvarlige selv ville være en god måde at kontrollere sikkerheden på? De må vel have gjort sig nogle tanker - er det ikke deres job? Vi hører jo stort set dagligt politikere, forskere og embedsmænd bavle løs om den gode datasikkerhed i Danmark. Hvad mener de med disse udtalelser? Er de fejlinformerede, eller taler de bevidst mod bedre vidende? Det er i hvert fald ikke til at holde ud at høre på mere. Et nyligt eksempel: https://www.altinget.dk/artikel/akkrediteringsinstitution-faa-styr-paa-u...

Claus Juul:

Det glæder mig, at der er nogen, der trods alt synes, at den slags erklæringer er bedre end ingenting.

"Bedre end ingenting" er ganske vist ikke særligt godt. Men hvad gør vi, hvis der ikke kan findes en måde at føre rimelige kontroller med behandling og opbevaring af vore allermest private data? Så er der vel kun to alternativer:
1) Vi lever med, at det simpelthen er slut med privatliv ift. statsmagten og erhvervsinteresser.
2) Vi må holde helt op med at indsamle flere persondata end højest nødvendigt for, at samfundet kan fungere.

Vi sølvpapirshatte - og ganske mange borgere gætter jeg på - kan ikke leve med den første løsning.

Statsapparatet og diverse forskere kan ikke leve med den anden løsning.

Vi må jo så sørge for, at det bliver løsning nr. 2, der vinder - ellers bliver her ikke til at holde ud at være.

Lovgivningen kan desværre ikke være 100% klar, for er den det vil udviklingen overhale loven hurtigt. Lovgivningen er nød til at være lidt blød så den er holdbar i længden.

Kravene kan være klare (hvis vi mener det samme), de de skal være fortolkningen af loven i den nutidige kontekst den eksistere i, og fortolkningen kan ændre sig som tiden går. Datatilsynet fortolker loven og hvis klienten er uenig kan sagen tages for en dommer.

Jeg mener at det er vores (dem som bliver påført skade) manglende vilje til at sagsøge dem som ikke gør deres arbejde godt nok. En del af problemer er i mine øjne at føre en retssag er en meget omkostningenfuld sag, hvor den med den største pengepung har bedre forhold end den med den lille pengepung, samt at retssystemet ikke er gearet til at gennemføre en retsag inden for en rimelig tid, hvilket betyder at en dom bliver irrelevant, dagen efter den er afsagt.

Men det var om økonomi? - Ikke (IT-)sikkerhed.

Min erfaring med de årlige revisorerklæringer vedrørende (IT-)sikkerhed er at de ikke har haft fingrene i teknik og derfor ikke ved hvordan teknikken har det. De har kontrolleret papirer og ud fra det udtalt sig.
Det er muligt det har ændret sig inden for det seneste år, men jeg tvivler.
Indtil det ændrer sig, jeg ligeglad med dem.

Der mener jeg du rammer ned i det jeg skrev lige før, "vores manglende vilje til at sagsøg" og "gennemføre en retsag inden for en rimelig tid", men det er jeg sikker på ændre sig, for på et eller andet tidspunkt kommer der så klokkeklar en sag, der vil kræve at politikkerne handler eller at domstolene gør.