Styrelse efter hård kritik fra Datatilsynet: Sundhedsdata har ikke været i fare

Efter kritik fra Datatilsynet har Sundhedsdatatyrelsen set sig nødsaget til at understrege, at sundhedsdata ikke har været i fare.

Sundhedsdatastyrelsen er en af de statslige myndigheder, som Datatilsynet netop har kritiseret offentligt for meget omfattende mangler i efterlevelsen af persondataloven.

Hos Sundhedsdatastyrelsen har man udgivet et svar på kritikken umiddelbart efter Datatilsynets offentliggørelse. Det foregår i form af en meddelelse på styrelsens hjemmeside.

Her bliver det understreget, at borgernes sundhedsdata altså ikke har været i fare tiltrods for kritikken, som Datatilsynet har rejst. Blandt andet i forhold til manglende skriftlige aftaler med databehandlere.

»Det er vigtigt for Sundhedsdatastyrelsen at understrege, at for alle de områder, der berører borgernes sundhedsdata, for eksempel Det Fælles Medicinkort, Vævsanvendelsesregistret, Den Nationale Børnedatabase, Sygesikringsregistret mv., er de skriftlige databehandleraftaler på plads, og der bliver ført tilsyn med databehandlerne,« skriver Sundhedsdatastyrelsen på hjemmesiden.

Endvidere står der:

»De databehandlere uden skriftlige databehandleraftaler, der her henvises til, er systemer udbudt af Moderniseringsstyrelsen til løn-, regnskab og personaleadministration. Det er naturligvis kritisabelt.«

De andre gør det også

I den forbindelse bliver det understreget, at det altså ikke kun er hos Sundhedsdatastyrelsen, at der er bøvl med databehandler-aftalerne. Det bliver formuleret som følger:

»Datatilsynet peger dog i sin udtalelse på, at problemstillingen med de manglende databehandleraftaler for disse systemer er generel og fælles for en lang række statslige myndigheder,« står der i nyheden på styrelsens hjemmeside, som fortsætter:

»Moderniseringsstyrelsen er sammen med Datatilsynet ved at se på disse aftaler.«

Det er dog ikke alle offentlige myndigheder, der har lige svært ved det med databehandleraftaler.

Som Version2 tidligere i dag fortalte, så har Datatilsynet godt nok kritiseret syv ud af otte offentlige myndigheder i forbindelse med et tilsyn, der blev foretaget i efteråret 2016. Men hos Udbetaling Danmark fandt Datatilsynet ingen grund til kritik.

Sundhedsdatastyrelsen har også fået plads til at understrege, at netop datasikkerheden er i højsædet.

»Sundhedsdatastyrelsens direktør, Lisbeth Nielsen, beklager kritikken og understreger, at sikkerheden omkring persondata og sikkerhedsbekendtgørelsen er øverst på dagsordenen for Sundhedsdatastyrelsen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"»Sundhedsdatastyrelsens direktør, Lisbeth Nielsen, beklager kritikken og understreger, at sikkerheden omkring persondata og sikkerhedsbekendtgørelsen er øverst på dagsordenen for Sundhedsdatastyrelsen.«"

Jamen, i så fald er det da så meget desto mere foruroligende, at det alligevel står så sløjt til. Hvis det i forvejen er øverst på dagsordenen, uden at det har hjulpet, hvad vil man så gøre for at få styr på det?

  • 6
  • 0
Andy Fischer

Besøge nogle skoler...


Datatilsynet holder sig bevidst væk fra de steder, hvor de faktisk kunne gøre en forskel for datasikkerheden. Hvis man nærlæser de forskellige udtalelser, er det tydeligt, at det er småting de har grebet fat i, og flere steder mellem myndigheder, blot for at kunne udtale kritik. De har selvfølgelig også deres eksistensberettigelse at tænke på, specielt i disse tider.

  • 4
  • 0
Kevin Johansen

Måske, eller også, som jeg mener de har udtalt for nylig, går de ikke ind i sager, hvor de intet kan stille op alligevel (f.eks. Facebook).

Selvom myndigheder/styrelser osv. principielt kan ignorere DTs påtaler (og i nogle få tilfælde gør det, måske med henvisning til kriminalitetsefterforskning) er det trods alt de færreste, der ikke på en eller anden måde, hvertfald forsøger at rette op. At de så måske fejler miserabelt er ikke det samme som at ignorere DT.

  • 2
  • 0
Jesper Frimann

Jamen, i så fald er det da så meget desto mere foruroligende, at det alligevel står så sløjt til. Hvis det i forvejen er øverst på dagsordenen, uden at det har hjulpet, hvad vil man så gøre for at få styr på det?

Igen så er det her kun en aftale gennemgang, det er ikke en 'gå ud og se på tingne der hvor de sker', se hvem der faktisk har fysisk adgang, se hvem der har administrator adgang, vurdere infrastrukturen det kører på, og se på det med kompetente tekniske øjne.

Det her er ren revision.

// Jesper

  • 5
  • 0
Mads Bendixen

Så på trods af den kradse kritik skraber DT oven i købet stadig kun i den pæne overflade over den mulige bagvedliggende endnu værre elendighed...


Ja og det er desværre sådan de fleste "IT" revisioner har foregået hidtil, primært fokus på papirarbejdet. Det er heldigvis ved at ændre sig, men desværre (for ledelsen) giver det en betydelig lavere karakter.

  • 4
  • 0
Claus Bobjerg Juul

Igen så er det her kun en aftale gennemgang

Men hvis der er ikke er styr på denne formelle del, tror du så der er styr på den anden del?

Sundhedsdatastyrelsen, kan dog dække sig lidt ind under at det er en anden offentlig myndighed.

Databehandleraftaler må være et udtryk for at den dataansvarlige, skal have styr på hvordan de persondata, databehandleren har i sig varetægt må håndteres, hvis der ikke er en aftale så er det ikke muligt at kontroller noget som helst, for der er ikke nogen referanceramme.

  • 2
  • 0
Jesper Frimann

Men hvis der er ikke er styr på denne formelle del, tror du så der er styr på den anden del?

Meget gerne begge dele tak :)

Sundhedsdatastyrelsen, kan dog dække sig lidt ind under at det er en anden offentlig myndighed.

Databehandleraftaler må være et udtryk for at den dataansvarlige, skal have styr på hvordan de persondata, databehandleren har i sig varetægt må håndteres, hvis der ikke er en aftale så er det ikke muligt at kontroller noget som helst, for der er ikke nogen referanceramme.

Jo, men problemet er jo bare, at det hurtigt bliver kontrakt gymnastik, fra en leverandørs side.
Hvor er kommaerne sat ?
Hvordan kan vi skrive os ud af ansvaret ?
Kan vi tage en kalkuleret risiko, de opdager det jo ikke aligevel ?

Og hvis du ikke forstår teknikken hos den offentlige myndighed der outsourcer. Så vil du blive 'taget i r****', enten fordi du acceptere det, for at få en lavere pris, eller fordi du ikke forstår hvad du får.

Jeg har siddet med offentlige 'kontrakt folk' der insisterede på at få gammelt hardware, der kun kunne køre gamle usikre ikke up to date OS'versioner og igen så også gamle applikationer, for andet kunne der jo ikke køre på de gamle OS versioner. Simpelt hen fordi det stod i kontrakten, en kontrakt der så bare var blevet forlænget, og ikke opdateret. Alt sammen til en dyrere pris.
Og så er det svært at være en ansvarsbevist og proaktiv leverandør, så er der kun en ting at gøre og det er at lave en CMA, hvor man skriver sig ud af det.
Når det kommer til datasikkerhed så er the devil in the detail.

// Jesper

  • 3
  • 0
Finn Christensen

Det her er ren revision.

Kun teknisk og juridisk papirkrig.

Hele infrastrukturen - rygraden - mangler vedr. data hos vores offentlige sytemer, derfor er diverse småpilleri og ændringer i det nuværende virkningsløse.

Folketinget/Regeringen har aldrig nedsat det nødvendige "Dataudvalg"[1], der som Finansudvalget, Udenrigsudvalget etc. sikrer, at meddelelser samt styring kommer op til Borgen.

Der findes ingen seriøs styrelse med nødvendige muskler.. alene kun mange små fragmenterede stumper af rådgivning/kontrol....(overvågning FET/PE) placeret under flere ministerier.

Tænk sig om dette scenario var virkelighed: "Bekendtgørelse om dataeftersyn giver Datakontrollen mulighed for at foretage anmeldt såvel som uanmeldt dataeftersyn hos statens institutioner. Ved et dataeftersyn sikrer Datakontrollen sig, at der er .... data, som institutionen har angivet, og at institutionens data og sikkerhedsmæssige forvaltning af disse data udføres forsvarligt."

Ovenstående er i grove træk hjemlen(lovgrundlaget) hos vores uafhængige, tværgående og meget seriøse kontrolorgan - Rigsrevisionen.

Rigsrevisionens formål "At fremme en redelig og effektiv statsforvaltning", er desværre uden særlig interesse vedrørende it-systemer og borgernes data.

Det er da ikke særlig svært, da der blot skal oprette en ændret kopi af en allerede kendt, brugt og velfungerende struktur, hvorunder styrelser kan etableres, samt kopi af en allerede kendt samt en tilsvarende afprøvet kommandovej til departement samt folketingets "Dataudvalg" etableres.

>1000 personer udover mig ved dette, så det skyldes ikke uvidenhed!

[1] ..http://www.ft.dk/da/udvalg/udvalgene

  • 1
  • 0
Anne-Marie Krogsbøll

Bekendtgørelse om dataeftersyn giver Datakontrollen mulighed for at foretage anmeldt såvel som uanmeldt dataeftersyn hos statens institutioner. Ved et dataeftersyn sikrer Datakontrollen sig, at der er .... data, som institutionen har angivet, og at institutionens data og sikkerhedsmæssige forvaltning af disse data udføres forsvarligt."


Finn Christensen:
Det lyder fornuftigt - men jeg troede faktisk, at datatilsynet havde de beføjelser - men bare ikke har ressourcerne? Hvis det ikke er tilfældet, så er det jo helt til grin og katastrofalt, for så er der jo ikke engang i teorien et tilsyn.

  • 0
  • 0
Claus Bobjerg Juul

Rigsrevisionens formål "At fremme en redelig og effektiv statsforvaltning", er desværre uden særlig interesse vedrørende it-systemer og borgernes data.

Det passer desværre ikke, du kan evt. søge aktindsigt hos Rigsrevisionen om hvilke IT-revisioner, der er fortaget det sidste år (eller hvilken periode, der måtte interesser dig)

Rigsrevisionen gennemfører flere forskellige it-revisioner, herunder it-revisionen der understøtter de regnskabsmæssige systemer, it-revisioner der har fokus på "generelle it-kontroller" fx AD og netværk og så er der de it-revisioner der ender med at blive it-beretninger, fx https://www.version2.dk/artikel/store-statslige-institutioner-blaeser-pa...

  • 1
  • 0
Finn Christensen

..om hvilke IT-revisioner, der er fortaget det sidste år..

Vi snakker om et kompliceret emne, og du misforstår mig delvis.

Dit indlæg beviser på bedste vis de fragmenterede forhold, og at der mangler en overordnet opbygning, styring og kontrol af området "elektronisk data" og "databehandling". Tværtom er der mange og hver centreret om deres data.

Mit indlæg vedrører Datatilsynet som er emnet - hvordan rollen for Datatilsynet kun delvis udfyldes. Deres korrekte navn burde have være "Persondatatilsynet", da det var deres oprindelse og område.

Derfor fanger du nogle roller op hos Rigsrevisionen, som historisk betinget har udført IT-revision, primært med henblik på bevilling og regnskab. Rigsrevisionen foretager (heldigvis) enkelte generelle it-kontroller mfl., men som jeg skriver burde dette være hos en formel "Datakontrollen" (og altså ikke det nuværende "Persondatatilsynet").

  • 0
  • 0
Finn Christensen

men jeg troede faktisk, at datatilsynet havde de beføjelser

.. Nuværende Datatilsynet er bedre benævnt "Persondatatilsynet", og hvis du ser på bemandingen[1], så vil en lille gruppe fuldmægtig, cand. jur. fortrinsvis udfører en ensidige rolle - fortolkning.

"De fleste regler i persondataloven hviler på et skøn, dvs. en konkret vurdering af, om grænserne, for hvad man kan tillade sig, er overtrådt."

Min "Datakontrollen" mangler, og dem med data er kun centreret om deres data. Et problem bliver så udvekslede/sammenkørte data[2], kontrol med ekstern databehandler[3] ..eksempel er også udbetaling Danmark samt vores sundhedsdata[4].

Inspektion: Der er mindre end en håndfuld "it-folk" sammen med den meget lille gruppe cand. jur. Da mængden af baser/registre med persondata herhjemme er særdeles omfattende, samt at de hver indeholder og dagligt kan udveksler enorme mængder af data, så er få stikprøver det muliges kunst - og det er åbenlyst utilstrækkeligt[4].

[1] ..https://www.datatilsynet.dk/om-datatilsynet/medarbejdere/
[2] ..https://www.version2.dk/artikel/forsvarets-efterretningstjeneste-kan-faa...
[2] ..https://www.version2.dk/artikel/patientformand-borgerne-boer-selv-styre-...
[3] ..https://www.version2.dk/artikel/droeje-persondata-hug-syv-ud-otte-statsl...
[4] ..https://www.version2.dk/artikel/politiet-naegter-at-gaa-ind-sag-ulovlig-...

  • 1
  • 0
Log ind eller Opret konto for at kommentere