Region Nordjylland: Vi aner ikke om vores tilsyn med databehandlere lever op til loven

Illustration: gstockstudio, BigStock
Vi kan ikke tolke loven, så vi bruger vores sunde fornuft, forklarer regionen.

Region Nordjylland er på ingen måde sikker på, om regionen lever op til i persondataloven - nærmere bestemt den, som kræver, at man holder tilsyn med sine databehandlere.

Det skriver Computerworld.

Læs også: Rigspolitiet sender danske persondata til USA i strid med persondataloven

Ifølge Region Nordjylland selv er begrundelsen, at man savner information om, hvordan man fører denne kontrol:

»Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft,« siger Michael Lundsgaard Sørensen, kontorchef for it-forvaltning, drift og support i Region Nordjylland, til Computerworld.

Ikke siden 2012

Computerworld har i en aktindsigt bedt om indblik i Region Nordjyllands kontroller med sine databehandlere fra 2012 til nu.

Læs også: Drøje persondata-hug fra Datatilsynet til syv ud af otte statslige myndigheder

I et skriftligt svar oplyser regionen i første omgang, at man ikke har foretaget nogen kontroller af sikkerheden hos regionens leverandører, hvorfor Region Nordjylland ikke kan give aktindsigt i den forbindelse.

Senere retter regionen sit svar til, at man har udført kontroller, men at man ikke ved, om de lever op til lovkravet.

Læs også: Kommune sender helbredsoplysninger ukrypteret i hænderne på forkerte borgere

Datatilsynet oplyser til Computerworld, at det obligatoriske tilsyn stort set kan klares ved at bede virksomhederne dokumentere, at de overholder databehandleraftalen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
Christian Nobel

Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol

En god begyndelse kunne jo være at læse selve forordningen, så man forstod de krav der er i den!

Hvis man ser sig omkring, så vil man se at der er mange firmaer der er i gang med at implementere GDPR, og hvis de ikke selv magter at fortolke lovstoffet, allierer de sig med en konsulent eller en advokat.

Det er utroligt at det offentlige ingen skrupler har med at kræve at private forstår og overholder love og regler, men når det er den anden vej rundt, så er det ren slendrian, eller måske direkte lovbrud, som f.eks. justitsministeren i forbindelse med logning.

Anne-Marie Krogsbøll

Så vidt jeg ved, er en årlig revisionserklæring om data- og informationssikkerhed fra en uafhængig revisor i henhold til bestemte ISA-standarder en del af den standardkontrakt, som de fleste databehandlere skal underskrive. Så man kunne jo starte med at bede om disse årlige revisionserklæringer. Men man læser måske ikke selv de kontrakter, man laver med sine databehandlere, før man underskriver dem?

Mads Bendixen

Hvis man ser sig omkring, så vil man se at der er mange firmaer der er i gang med at implementere GDPR, og hvis de ikke selv magter at fortolke lovstoffet, allierer de sig med en konsulent eller en advokat.

Men, forskellige konsulenter eller advokater, har forskellig opfattelse hvordan tingene skal fortolkes. Det er et helvede uden lige, at man ikke kan få et klart svar man kan stole på.
Men det er hvad der sker, når der er elastikformuleringer som "tilstrækkelig grad".

Mads Bendixen

Men hvad er det så, der skal til, hvis disse ikke duer?

Klar lovgivning og klare krav. Du kan ikke få teknik til at være vægelsindet eller ukonkret.
(Eller jo, Watson kan sikkert trænes op til at forstå det).

F.eks. dataportabilitet i GDPR. Det siger
"Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv"

Hvad er f.eks. "almindeligt anvendt"? - Der mangler nogle konkrete, råd og vejledning til teknikken.
Som det er nu, vil du som borger, risikere at få 3 forskellige formater, hvis du spørger 3 forskellige dataansvarlige. Og selvom de er "almindeligt anvendt", kan der være udgifter til software, for at kunne læse dem.

Claus Juul

De revisionserklæringer er ikke papiret værd de er skrevet på

Det mener jeg ikke er korrekt, hvis revisor udtaler sig om noget og det viser sig at det ikke holder vand, kan revisor gøres ansvarlig, da revisor skal vælge en metode der kan forsikre revisor om at forholdende er retvisende.

det betyder bla. at hvis der opdages uoverensstemmelser mellem fx procedure og faktiske forhold (stikprøve), skal revisor udtage flere stikprøver for at afgøre om det er en enlig svale eller systematisk svigt.

Enron's revisor blev sagsøg, det sammen med it-factory's revisor, fordi de udtalte sig fejlagtige og ikke havde undersøgt forholdende godt nok.

Anne-Marie Krogsbøll

Mads Bendixen:

Klar lovgivning og klare krav. Du kan ikke få teknik til at være vægelsindet eller ukonkret.


Uklare formuleringer med elastik i metermål gør det selvfølgelig ikke nemt. Og der må vi hjælpe beslutningstagere og politikere med at tage denne del alvorligt ved simpelthen at lægge pres på ved at sabotere indsamling og behandling af vore oplysninger, når det er muligt - indtil de har fattet, at det er noget, der skal tages alvorligt. Men fra uklare formuleringer og så til åbenbart slet ikke at have bekymret sig om sikkerhed, som det lyder til i flere regioner - der synes jeg altså ikke, at det er en gyldig undskyldning. Hvad synes de pågældende sikkerhedsansvarlige selv ville være en god måde at kontrollere sikkerheden på? De må vel have gjort sig nogle tanker - er det ikke deres job? Vi hører jo stort set dagligt politikere, forskere og embedsmænd bavle løs om den gode datasikkerhed i Danmark. Hvad mener de med disse udtalelser? Er de fejlinformerede, eller taler de bevidst mod bedre vidende? Det er i hvert fald ikke til at holde ud at høre på mere. Et nyligt eksempel: https://www.altinget.dk/artikel/akkrediteringsinstitution-faa-styr-paa-u...

Claus Juul:

Det mener jeg ikke er korrekt, hvis revisor udtaler sig om noget og det viser sig at det ikke holder vand, kan revisor gøres ansvarlig, da revisor skal vælge en metode der kan forsikre revisor om at forholdende er retvisende.


Det glæder mig, at der er nogen, der trods alt synes, at den slags erklæringer er bedre end ingenting.

"Bedre end ingenting" er ganske vist ikke særligt godt. Men hvad gør vi, hvis der ikke kan findes en måde at føre rimelige kontroller med behandling og opbevaring af vore allermest private data? Så er der vel kun to alternativer:
1) Vi lever med, at det simpelthen er slut med privatliv ift. statsmagten og erhvervsinteresser.
2) Vi må holde helt op med at indsamle flere persondata end højest nødvendigt for, at samfundet kan fungere.

Vi sølvpapirshatte - og ganske mange borgere gætter jeg på - kan ikke leve med den første løsning.

Statsapparatet og diverse forskere kan ikke leve med den anden løsning.

Vi må jo så sørge for, at det bliver løsning nr. 2, der vinder - ellers bliver her ikke til at holde ud at være.

Claus Juul

Klar lovgivning og klare krav

Lovgivningen kan desværre ikke være 100% klar, for er den det vil udviklingen overhale loven hurtigt. Lovgivningen er nød til at være lidt blød så den er holdbar i længden.

Kravene kan være klare (hvis vi mener det samme), de de skal være fortolkningen af loven i den nutidige kontekst den eksistere i, og fortolkningen kan ændre sig som tiden går. Datatilsynet fortolker loven og hvis klienten er uenig kan sagen tages for en dommer.

Claus Juul

slags erklæringer er bedre end ingenting.

Jeg mener at det er vores (dem som bliver påført skade) manglende vilje til at sagsøge dem som ikke gør deres arbejde godt nok. En del af problemer er i mine øjne at føre en retssag er en meget omkostningenfuld sag, hvor den med den største pengepung har bedre forhold end den med den lille pengepung, samt at retssystemet ikke er gearet til at gennemføre en retsag inden for en rimelig tid, hvilket betyder at en dom bliver irrelevant, dagen efter den er afsagt.

Mads Bendixen

Enron's revisor blev sagsøg, det sammen med it-factory's revisor, fordi de udtalte sig fejlagtige og ikke havde undersøgt forholdende godt nok.


Men det var om økonomi? - Ikke (IT-)sikkerhed.

Min erfaring med de årlige revisorerklæringer vedrørende (IT-)sikkerhed er at de ikke har haft fingrene i teknik og derfor ikke ved hvordan teknikken har det. De har kontrolleret papirer og ud fra det udtalt sig.
Det er muligt det har ændret sig inden for det seneste år, men jeg tvivler.
Indtil det ændrer sig, jeg ligeglad med dem.

Claus Juul

Min erfaring med de årlige revisorerklæringer vedrørende (IT-)sikkerhed er at de ikke har haft fingrene i teknik og derfor ikke ved hvordan teknikken har det. De har kontrolleret papirer og ud fra det udtalt sig. Det er muligt det har ændret sig inden for det seneste år, men jeg tvivler. Indtil det ændrer sig, jeg ligeglad med dem.

Der mener jeg du rammer ned i det jeg skrev lige før, "vores manglende vilje til at sagsøg" og "gennemføre en retsag inden for en rimelig tid", men det er jeg sikker på ændre sig, for på et eller andet tidspunkt kommer der så klokkeklar en sag, der vil kræve at politikkerne handler eller at domstolene gør.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder