Statsrevisorer skælder ud: Opbevaring af borgernes persondata er ikke sikker nok

Illustration: the_lightwriter/Bigstock
Statsrevisorerne finder det bekymrende, at der stadig er så store problemer med sikring af følsomme og fortrolige persondata. Myndighedernes styring har ikke har sikret, at outsourcede følsomme og fortrolige persondata opbevares sikkert hos de eksterne databehandlere.

I en undersøgelse har Rigsrevisionen gennemgået 148 it-systemer, hvor opbevaringen af persondata er outsourcet af myndigheder på alle ministerområder, undtagen Udenrigsministeriet og Region Midtjylland.

Statsrevisorerne påtaler og finder det meget alvorligt i Beretning 15/2019, at myndighedernes styring ikke har sikret, at outsourcede følsomme og fortrolige persondata opbevares sikkert hos de eksterne databehandlere.

Statsrevisorerne påtaler i den forbindelse, at myndighederne ikke har overholdt reglerne om databeskyttelse, herunder krav om at udarbejde risikovurderinger, indgå databehandleraftaler og føre tilsyn med databehandlerne, som har været gældende siden 2000.

Statsrevisorerne bemærker, at særligt Udlændinge- og Integrationsministeriet og Region Midtjylland har haft en kritisabel styring af eksterne databehandlere, mens Finansministeriet har haft den bedste styring af databehandlere.

Utilfredsstillende mangel på støtte af myndigheders styring

Statsrevisorerne finder det utilfredsstillende, at Justitsministeriet, herunder Datatilsynet, og Finansministeriet ikke i tilstrækkelig grad har understøttet de øvrige myndigheders styring af databehandlere.

Statsrevisorerne har ifølge deres meddelelse hæftet sig ved disse resultater fra undersøgelsen:

  • Myndighederne har ikke udarbejdet en risikovurdering, inden de har indgået en databehandleraftale, for 58 % af de it-systemer, der indgår i undersøgelsen. Myndighederne har således ikke haft grundlag for at fastsætte passende sikkerhedsforanstaltninger eller planlægge deres tilsyn.

  • Myndighederne har kun i 6 ud af 17 tilfælde, hvor de benytter globale cloud-udbydere til at opbevare persondata, udarbejdet en risikovurdering, og flere myndigheder har i øvrigt ikke haft fuld klarhed over indholdet af de standardvilkår, som de har accepteret.

  • Myndighederne har ikke indgået en databehandleraftale for 14 % af it-systemerne, selv om de har outsourcet opbevaringen af følsomme eller fortrolige persondata.

  • Myndighederne har ikke ført tilsyn med databehandlerne for 23 % af systemerne og har ikke undersøgt, om databehandlerne overholder vilkårene i databehandleraftalen og databeskyttelsesreglerne.

  • Myndighederne har for 24 % af systemerne ikke haft kendskab til alle de underdatabehandlere, der har behandlet deres følsomme og fortrolige persondata.

  • Justitsministeriet har ikke udgivet hverken en bekendtgørelse eller en vejledning om lokationskravet, som bestemmer, hvilke it-systemer der af hensyn til statens sikkerhed skal opbevares i Danmark.

  • Væsentlige vejledninger fra Justitsministeriet og Finansministeriet udkom først, efter at myndighederne skulle have implementeret GDPR (databeskyttelsesforordningen).

  • Datatilsynet har ikke ført et risikobaseret tilsyn og har ikke opdateret sin strategi, siden GDPR blev gældende i maj 2018. Datatilsynet har heller ikke gennemført de tilsyn hos offentlige myndigheder og private virksomheder, som var planlagt. Det har medført lav risiko for at blive opdaget i overtrædelser af reglerne om databeskyttelse.

Statsrevisorerne finder det bekymrende, at der stadig er så store problemer med sikring af følsomme og fortrolige persondata. Der er gået otte år siden det største læk af fortrolige persondata og mere end fem år, siden Statsrevisorerne skarpt kritiserede, at en række statslige institutioner ikke i tilstrækkeligt omfang beskytter fortrolige oplysninger om personer og virksomheder i beretning nr. 1/2014 om statens behandling af fortrolige oplysninger om personer og virksomheder.

Datatilsynet: Vi tager kritikken alvorlig

»Datatilsynet har haft øget fokus på databehandlere siden 2016, og undersøgelsen ligger således i forlængelse af dette fokus. Men den viser desværre også et behov for, at både vi og myndighederne arbejder meget mere med området,« udtaler Datatilsynets direktør Cristina Angela Gulisano ifølge en kommentar på tilsynets hjemmeside, der bemærker, at myndigheden tager kritikken alvorligt og på flere områder allerede har iværksat ændringer.

Et af Rigsrevisionens kritikpunkter er, at det ikke er dokumenteret, at Datatilsynets planlagte tilsyn er risikobaserede. Det mener Datatilsynet dog kun er et problem i selve dokumentationen.

»Når vi udvælger de konkrete emner og dataansvarlige, de planlagte tilsyn skal omfatte, er det baseret på, hvor vi vurderer, at risikoen for manglende overholdelse af reglerne er størst. Dette har vi ikke være gode nok til at dokumentere. Derfor har vi også fuld forståelse for Rigsrevisionens kritik på dette punkt. Vi arbejder allerede på et mere dokumenteret og databaseret koncept for udførelsen af de planlagte tilsyn, og vi forventer, at det vil imødekomme Rigsvisionens kritik.«

For få tilsyn

Om kritikken af, at der ikke afsluttet så mange tilsyn som planlagt, siger Cristina Angela Gulisano ifølge meddelelsen:

»Det er helt rigtigt, at det ikke går så stærkt, som vi havde håbet. Derfor er vi ved at gentænke konceptet for planlagte tilsyn ved at etablere nogle nye tilsynsformer. Vi behandler dog et stort antal klager og får dagligt et betydeligt antal underretninger om sikkerhedsbrud, og begge dele er ligesom de planlagte tilsyn med til at fastlægge praksis. Vi offentliggør løbende principielle afgørelser – ikke blot på baggrund af planlagte tilsyn, men også klager og sikkerhedsbrud.«

En væsentlig del af Rigsrevisionens kritik består i, at antallet af vejledninger, der var offentliggjort 25. maj 2018, da databeskyttelsesforordningen fik virkning i Danmark, var for lavt. Der et udkommet flere vejledninger efter denne dato, og Rigsrevisionen finder det uhensigtsmæssigt, at de ikke lå klar tidligere.

»Vi har udgivet en lang række vejledninger gennem de seneste år, og vi har flere på vej. Vejledningsindsatsen er en løbende opgave, som skal tage højde for udviklingen i samfundet. Vi hæfter os derfor mindre ved datoen 25. maj 2018 og mere ved, at vi til stadighed får fortolket og formidlet relevante regler. Lige nu har vi særligt fokus på at gøre vejledningerne mere konkrete og målrettede,« siger Cristina Angela Gulisano.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Søren Walther

Når man sidder et sted og må høre på at en af de store cloud leverandører lyver for de fælles kunder omkring tilstædeværelsen af en databehandleraftale uden at det får koncekvenser for nogen så er det ret nemt at forstå at det ikke er forstået på alle niveauer at det er ret vigtigt.

  • 4
  • 0
#4 Anne-Marie Krogsbøll

... som desværre sniger sig ud i skyggen af corona-epidemien.

Selv Datatilsynet får på puklen for utilstrækkelig indsats - og det er vi jo en del, som i årevis har været inderligt enige i.

Når man sidder et sted og må høre på at en af de store cloud leverandører lyver for de fælles kunder omkring tilstædeværelsen af en databehandleraftale uden at det får koncekvenser for nogen

Jeg er rystet, Søren Walther. Ville det ikke være en whistleblower-indsats værdig? Et lille pip til Statsrevisorerne? For det er da godt nok groft. At man ikke ligefrem skilter med, at man blæser på love og regler, er én ting. Men at direkte lyve, når man bliver spurgt om databehandleraftale - det er lige et skridt videre, synes jeg.

Var det offentlige kunder? Og var det angående tredieparts-leverandører/underleverandører? For der kunne jeg da godt have en mistanke om, at der ofte er en fælles stiltiende overenskomst om, at myndigheden så kan sige "Vi har spurgt - og at man helst ikke vil kende sandheden.

  • 4
  • 0
#6 Knud Larsen

Nu betyder Rigsrevisionens udtaleser ikke juridisk noget. Ministrene og embedsværket gør som det passer dem. Der er ikke et system der sørger for retshåndhævelse. Det samme gælder Ombudsmanden og forholdene bliver så derefter Så lovjask og lemfældighd fortsætter uantastet

  • 1
  • 1
#8 Louise Klint

Jeg synes også, det er værd at bemærke, at her er tale om minimumskrav, som knapt efterleves (min markering):

30.Vi foretager ikke en juridisk vurdering af, om risikovurderinger, databehandleraftaler og tilsyn i sin helhed lever op til alle regler i GDPR.

Vi undersøger heller ikke, om fx databehandleraftalen i tilstrækkelig grad tager højde for de risici, som er identificeret i risikovurderingen, eller om de gennemførte tilsyn har været tilstrækkelige.

Undersøgelsens sigte er derimod at se bredt på tværs af mange myndigheder og vurdere, om myndighederne overholder en række minimumskrav for styring af databehandlere.

Afgrænsning (1.3), Statsrevisorernes beretning:

https://www.ft.dk/-/media/sites/statsrevisorerne/dokumenter/2019/beretni...

  • 0
  • 0
#9 Louise Klint

Regionerne behandler, som bekendt, mange af borgernes allermest private persondata – bl.a. sundhedsdata fra hospitalernes it-systemer. Revisorerne har ikke vurderet alle regionerne i denne omgang, en for en, men ”udvalgt Region Midtjylland som case for regionerne”.

Således undgik Region H og Sjælland at få opmærksomhed i denne omgang.

Desværre, synes jeg. Dette angår Sundhedsplatformen, der benyttes af alle hospitaler og psykiatrien på Sjælland og dermed rummer cirka halvdelen, 2,5 millioner, af danskernes sundhedsoplysninger, og det gælder specifikt leverandøren Epic.

Dels kender vil til Epics CEO, den amerikanske milliardær, Judy Faulkners, egne planer om at ville oprette et samlet, globalt netværk med sundhedsdata, ”One Virtual System Worldwide”. Sundhedsdata fra alle deres kunder, verden over, heriblandt danskernes helbredsoplysninger fra Sundhedsplatformen.

25.09.18: https://www.version2.dk/artikel/epic-ceo-vil-samle-hele-verdens-sundheds...

Derudover har vi et langstrakt forløb med usikkerhed omkring omgangen med de personfølsomme oplysninger.

Fra Epics første 3-linjers-erklæring om at overholde alle krav til sikkerhed og databehandling:

12.12.17: ”Sundhedsplatformens leverandør sjusker: Garanti for lovlig databehandling kasseret” https://www.version2.dk/artikel/sundhedsplatformens-leverandoer-sjusker-... https://www.version2.dk/artikel/sundhedsplatformens-leverandoer-sjusker-...

Og herefter et langt tovtrækkeri desangående samt mørklagte databehandleraftaler og tvivlsom databehandling:

15.01.18: ”Sundhedsplatformen sender ikke-anonymiseret sundhedsdata til USA” https://www.version2.dk/artikel/sundhedsplatformen-sender-ikke-anonymise...

15.03.18: ”Sundhedsplatformen: Epic udskyder igen at levere garanti for sikker databehandling” https://www.version2.dk/artikel/sundhedsplatformen-epic-udskyder-igen-at...

15.08.18: ”Region H mørklægger datasikkerhed i Sundhedsplatformen: Datatilsynet har ikke ført kontrol” https://www.version2.dk/artikel/region-h-moerklaegger-datasikkerhed-sund...

22.06.19: ”Har du aborteret, tager du medicin eller er du blevet opereret i knæet? Patienters helbredsoplysninger ender uden for dansk lov og ret” https://politiken.dk/indland/art7266155/Patienters-helbredsoplysninger-e...

22.06.19: ”10 spørgsmål til Region H efter kritik: Hvordan vil I sikre jeres patienters oplysninger?” https://www.dr.dk/nyheder/indland/10-spoergsmaal-til-region-h-efter-krit...

24.06.19: ”Danske patientdata ender i USA: Epic-medarbejdere har adgang til journaler i Sundhedsplatformen” https://www.version2.dk/artikel/danske-patientdata-ender-usa-epic-medarb...

25.06.19: ”Region H fremhæver GDPR-ugyldig sondring mellem 'at se' patientdata og placering af data” https://www.version2.dk/artikel/region-h-fremhaever-gdpr-ugyldig-sondrin...

Derfor synes jeg, det er ærgerligt, at Region H og Sjælland ikke kom med under luppen nu. For jeg ved ærligt talt ikke, hvad der sker med vores data fra Sundhedsplatformen i denne sammenhæng.

  • 0
  • 0
Log ind eller Opret konto for at kommentere