Regionerne benytter risikabelt meget forældet software

19. maj 2017 kl. 07:118
Region Midtjylland bruger stadig 5.000 maskiner, der kører på Windows XP. Det kan vise sig at være ulovligt i forhold til persondataloven.
person
Morten Egedal
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Morten Egedal

Det kan være et brud på persondataloven, når regionerne stadig har Windows XP på deres maskiner, skriver Information.

Antal computere med XP i regionerne
Nordjylland: 100
Midtjylland: 5.000
Syddanmark: under 100
Sjælland: 113
Hovedstaden: 630

»Regionen har som dataansvarlig pligt til at have den tilstrækkelige sikkerhed, og når det nu er almindelig kendt, at så gamle udgaver af Windows ikke er særligt sikre, og der for patienternes vedkommende er tale om personfølsomme oplysninger, så ser det ikke godt ud,« siger Peter Blume, professor i persondataret.

Det samme mener Hanne Marie Motzfeldt, lektor i forvaltningsret og de juridiske aspekter af digitalisering.

»Det er ret enkelt. Man skal have den tilstrækkelige nutidige sikkerhed og følge med den tekniske udvikling. Det er det ansvar, man har, når man bliver betroet borgernes data.«

Muligvis brud på loven

Det er tre år siden, at Microsoft holdt op med at opdatere Windows XP. Det er velkendt, at systemet derfor er blevet risikofyldt at bruge.

Artiklen fortsætter efter annoncen

»Man skal selvfølgelig passe på med at sige, at de overtræder persondataloven, men det kunne godt se sådan ud,« siger Peter Blume.

Hanne Marie Motzfeldt er enig og tilføjer: »Sikkerhedskravene i persondataloven rykker sig hele tiden med den tekniske udvikling, og her er der klare krav til, at man som ansvarlig for borgernes data skal holde sig til det tekniske niveau, der svarer til 2017. Det vil sige, at man skal eliminere kendte risici, hvis det er muligt, med mindre de er helt uproportionale i forhold til omkostningerne.«

Loven siger:
»Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.«

Hvis sagen faktisk skal tages op, skal Datatilsynet selv gå ind i sagen - ellers skal en borger i regionen selv klage til Datatilsynet.

Fokus
Emner
8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Michael Cederberg
21. maj 2017 kl. 23:45

De 5000 computere i Jylland er svære at forsvare. Men nogle af resten kan måske forsvares hvis man har taget de rette forholdsregler.

Såfremt det er computere der er tæt knyttet til noget hardware - fx. en røntgenapparat, MR skanner eller varmesystem på et hospital. Hvor omkostningen til at udskifte hardwaren ikke bare er en ny Windows licens eller en ny PC.

Hvis man samtidigt har taget forholdsregler, sådan at maskinerne ikke er på nettet eller i det mindste kun er på nettet gennem en kontrolleret jumpserver som i sig selv er sikker. Så kan det godt forsvares.

Men der kræves at hver evig eneste computer er blevet vurderet.

  • more_vert
    • insert_linkKopier link
6
Ole Kjartansson
20. maj 2017 kl. 11:50

Det er godt nok utroligt at mange ikke er kommet afsted med dem endnu, og at de så ikke skifter direkte fra xp til Windows 10 forstår man jo ikke

https://www.ygames.me/crgems/

  • more_vert
    • insert_linkKopier link
7
Bjarne Oldrup
21. maj 2017 kl. 22:44

Beklager, men jeg forstår ganske enkelt ikke sammenhængen mellem oventstående og Clash Royale, @Ole

Jeg går ud fra, at den manglende opdatering af det 16 år gamle operativsystem, skyldes at applikationerne ikke fungerer under Windows 10 (eller 8, eller 7). Betyder det at de HELLER ikke er blevet opdateret i dette årti?

  • more_vert
    • insert_linkKopier link
5
Jørgen Peter Guldfeldt
19. maj 2017 kl. 16:20

Dårlig artiklen der kunne være skrevet af Ekstra Bladet, og som kun jagter læsertallene og ikke sagligt indhold. Fx skal man sammenholde tallet med den samlede flåde af PC'ere, men historien er jo ikke så interessant når det viser sig at være 3%. Og så skal man måske også lige se på hvorfor de ikke er opdateret og hvad den/de applikationer der er årsagen ville koste at opdatere og hvad processen er for dette. Måske havde man også tilkøbt sig ekstra support. Måske niveauet kunne hæves lidt

  • more_vert
    • insert_linkKopier link
4
Jan Larsen
19. maj 2017 kl. 10:50

Et af problemerne med gamle styresystemer er: Man har fokuseret på at, købe det billigste software til at køre på maskinerne og det aktuelle styresystem, uden tanke på fremtiden. Mellem det oprindelige køb og nu, er udviklerhuset gået konkurs eller blevet opkøbt af et nyt firma, der ikke længere vil fokusere på denne forældede og måske endda udokumenterede software. Derfor kan software eller systemernes integrationer ikke altid opdateres og man er nødt til at hænge fast i Windows NT, 2000, XP eller 2003 for at holde hjulene kørende. Dem der tager beslutningerne om at fortsætte de gamle systemer, har det som den mand der springer ud fra Rundetårn og i 1. sals højde tænker: "Det er da gået meget godt indtil nu!"

  • more_vert
    • insert_linkKopier link
3
Martin Bøgelund
19. maj 2017 kl. 08:55

IT-Havarikommission nu!

Jeg ved godt jeg siger det åbenlyse, men nogen skal jo sige det højt...

Når rigtig mange systemer, virksomheder og offentlige institutioner har fået snavs indenfor dørene pga forældet og usikker software, når tid og penge er spildt eller kastet efter IT-kriminelle, og når persondata har været i fare for at gå tabt eller blive lækket, kobler man den endnu ikke-eksisterende IT-havarikommission på.

Den vil så komme til nogle af de helt åbenlyse konklusioner:

  • Gamle og uopdaterede systemer udgør en stor sikkerhedsrisiko.
  • For at mindske sikkerhedsrisikoen, skal gamle og uopdaterede systemer enten opdateres eller udskiftes. Og så kommer der sikkert også et bundt andre, mindre åbenlyse konklusioner oveni, som samfundet også kan drage nytte af.

På baggrund af disse konklusioner udstedes i givet fald påbud til de øverste ansvarlige i de pågældende institutioner. Påbudet gøres også til en obligatorisk del i diverse revisionsrapporter, fordi det indikerer en høj risiko for virksomheden/institutionen, og udstilles evt. offentligt via en form for smiley-ordning.

I tilfældet for offentlige institutioner, såsom hospitaler, vil et påbud og en anmærkning i revisionsrapporterne omgående blive vekslet til et politisk ansvar. Herfra vil handlemulighederne ultimativt så være lagt i vælgernes/befolkningens hænder.

Herudover kan man overveje at give IT-Havarikommissionen mulighed for at politianmelde den øverste ledelse for grov uagtsomhed, skulle et evt. påbud ikke blive efterkommet.

Ideen om at "det er vist sikkert nok, for det er jo ikke gået galt indtil videre" hører ikke hjemme i kvalitetsbevidste virksomheder. Og i et sundhedssystem, hvor der tages vare på menneskers liv og helbred, er det helt i skoven.

  • more_vert
    • insert_linkKopier link
2
Bo Wann
19. maj 2017 kl. 07:55

Når den IT faglige ledelse i RM, siger at sikkerheden er go nok, så kan jeg da godt ha min trivel, på hvilken IT faglig baggrund de har. Virker lidt som om at man på ledelses gangen, har kigget på økonomi og sagt at det er godt nok, uden at det er teknisk begrundet.

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
19. maj 2017 kl. 07:48

Skal vi så tro på, at man har sørget for ordentlig sikkerhed i forbindelse med Sundhedsplatformen og udlevering af vore data til EPIC i USA?

  • more_vert
    • insert_linkKopier link