Regionerne benytter risikabelt meget forældet software

Persondata
Region Midtjylland bruger stadig 5.000 maskiner, der kører på Windows XP. Det kan vise sig at være ulovligt i forhold til persondataloven.

Det kan være et brud på persondataloven, når regionerne stadig har Windows XP på deres maskiner, skriver Information.

»Regionen har som dataansvarlig pligt til at have den tilstrækkelige sikkerhed, og når det nu er almindelig kendt, at så gamle udgaver af Windows ikke er særligt sikre, og der for patienternes vedkommende er tale om personfølsomme oplysninger, så ser det ikke godt ud,« siger Peter Blume, professor i persondataret.

Det samme mener Hanne Marie Motzfeldt, lektor i forvaltningsret og de juridiske aspekter af digitalisering.

Læs også: Datatilsynet om ny databeskyttelsesforordning: »Det er møghamrende indviklede regler«

»Det er ret enkelt. Man skal have den tilstrækkelige nutidige sikkerhed og følge med den tekniske udvikling. Det er det ansvar, man har, når man bliver betroet borgernes data.«

Muligvis brud på loven

Det er tre år siden, at Microsoft holdt op med at opdatere Windows XP. Det er velkendt, at systemet derfor er blevet risikofyldt at bruge.

»Man skal selvfølgelig passe på med at sige, at de overtræder persondataloven, men det kunne godt se sådan ud,« siger Peter Blume.

Læs også: Region Sjælland: Vi skal kunne sammenkøre kommunedata og sygehusdata

Hanne Marie Motzfeldt er enig og tilføjer: »Sikkerhedskravene i persondataloven rykker sig hele tiden med den tekniske udvikling, og her er der klare krav til, at man som ansvarlig for borgernes data skal holde sig til det tekniske niveau, der svarer til 2017. Det vil sige, at man skal eliminere kendte risici, hvis det er muligt, med mindre de er helt uproportionale i forhold til omkostningerne.«

Loven siger:
»Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.«

Hvis sagen faktisk skal tages op, skal Datatilsynet selv gå ind i sagen - ellers skal en borger i regionen selv klage til Datatilsynet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (8)

Bo Wann

Når den IT faglige ledelse i RM, siger at sikkerheden er go nok, så kan jeg da godt ha min trivel, på hvilken IT faglig baggrund de har. Virker lidt som om at man på ledelses gangen, har kigget på økonomi og sagt at det er godt nok, uden at det er teknisk begrundet.

Martin Bøgelund

IT-Havarikommission nu!

Jeg ved godt jeg siger det åbenlyse, men nogen skal jo sige det højt...

Når rigtig mange systemer, virksomheder og offentlige institutioner har fået snavs indenfor dørene pga forældet og usikker software, når tid og penge er spildt eller kastet efter IT-kriminelle, og når persondata har været i fare for at gå tabt eller blive lækket, kobler man den endnu ikke-eksisterende IT-havarikommission på.

Den vil så komme til nogle af de helt åbenlyse konklusioner:
- Gamle og uopdaterede systemer udgør en stor sikkerhedsrisiko.
- For at mindske sikkerhedsrisikoen, skal gamle og uopdaterede systemer enten opdateres eller udskiftes.
Og så kommer der sikkert også et bundt andre, mindre åbenlyse konklusioner oveni, som samfundet også kan drage nytte af.

På baggrund af disse konklusioner udstedes i givet fald påbud til de øverste ansvarlige i de pågældende institutioner. Påbudet gøres også til en obligatorisk del i diverse revisionsrapporter, fordi det indikerer en høj risiko for virksomheden/institutionen, og udstilles evt. offentligt via en form for smiley-ordning.

I tilfældet for offentlige institutioner, såsom hospitaler, vil et påbud og en anmærkning i revisionsrapporterne omgående blive vekslet til et politisk ansvar. Herfra vil handlemulighederne ultimativt så være lagt i vælgernes/befolkningens hænder.

Herudover kan man overveje at give IT-Havarikommissionen mulighed for at politianmelde den øverste ledelse for grov uagtsomhed, skulle et evt. påbud ikke blive efterkommet.

Ideen om at "det er vist sikkert nok, for det er jo ikke gået galt indtil videre" hører ikke hjemme i kvalitetsbevidste virksomheder. Og i et sundhedssystem, hvor der tages vare på menneskers liv og helbred, er det helt i skoven.

Jan Larsen

Et af problemerne med gamle styresystemer er:
Man har fokuseret på at, købe det billigste software til at køre på maskinerne og det aktuelle styresystem, uden tanke på fremtiden.
Mellem det oprindelige køb og nu, er udviklerhuset gået konkurs eller blevet opkøbt af et nyt firma, der ikke længere vil fokusere på denne forældede og måske endda udokumenterede software.
Derfor kan software eller systemernes integrationer ikke altid opdateres og man er nødt til at hænge fast i Windows NT, 2000, XP eller 2003 for at holde hjulene kørende.
Dem der tager beslutningerne om at fortsætte de gamle systemer, har det som den mand der springer ud fra Rundetårn og i 1. sals højde tænker: "Det er da gået meget godt indtil nu!"

Jørgen Peter Guldfeldt

Dårlig artiklen der kunne være skrevet af Ekstra Bladet, og som kun jagter læsertallene og ikke sagligt indhold. Fx skal man sammenholde tallet med den samlede flåde af PC'ere, men historien er jo ikke så interessant når det viser sig at være 3%. Og så skal man måske også lige se på hvorfor de ikke er opdateret og hvad den/de applikationer der er årsagen ville koste at opdatere og hvad processen er for dette. Måske havde man også tilkøbt sig ekstra support. Måske niveauet kunne hæves lidt

Bjarne Oldrup

Beklager, men jeg forstår ganske enkelt ikke sammenhængen mellem oventstående og Clash Royale, @Ole

Jeg går ud fra, at den manglende opdatering af det 16 år gamle operativsystem, skyldes at applikationerne ikke fungerer under Windows 10 (eller 8, eller 7). Betyder det at de HELLER ikke er blevet opdateret i dette årti?

Michael Cederberg

De 5000 computere i Jylland er svære at forsvare. Men nogle af resten kan måske forsvares hvis man har taget de rette forholdsregler.

Såfremt det er computere der er tæt knyttet til noget hardware - fx. en røntgenapparat, MR skanner eller varmesystem på et hospital. Hvor omkostningen til at udskifte hardwaren ikke bare er en ny Windows licens eller en ny PC.

Hvis man samtidigt har taget forholdsregler, sådan at maskinerne ikke er på nettet eller i det mindste kun er på nettet gennem en kontrolleret jumpserver som i sig selv er sikker. Så kan det godt forsvares.

Men der kræves at hver evig eneste computer er blevet vurderet.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017