Trods flere opfordringer: Nationalt Genom Center er endnu ikke sikkerhedscertificeret

For noget tid siden var jeg til en jobsamtale i det offentlige, hvis indhold var i formationssikkerhed. Stedet behandlede meget følsomme personoplysninger og meget tunge sociale sager.

Jeg bliver mødt med et spørgsmål, som gjorde mig helt paf :

“Hvordan vil du implementere sikkerheden i de afdelinger, hvor chefen ikke kan se formålet med informationssikkerhed og som ikke vil prioritere opgaverne ?”

Jeg spurgte: “Er der mange af den slags chefer her ?”

Svaret var “ja”.

For det første er det vel toplederens (een af de mange interviewere, der altid skal være tilstede ved jobsamtaler i det offentlige) opgave at få hans chefer til at makke ret og ikke informationssikkerhedsmedarbejderen.

For det andet, burde man da skille sig af med den slags chefer, der ikke har til hensigt at følge loven.

Hvorfor spørger man ikke lidt journalistisk ind til dette?

Man kunne fx. spørge Peter Løngreen.

Han er, mig bekendt, stadig vicedirektør og ”teknisk chef”, CTO, med ansvar for Nationalt Genom Centers IT-infrastruktur (selvom de ikke ligefrem skilter med det).https://eng.ngc.dk/press/danish-national-genome-centers-leadership/https://ngc.dk/om-ngc/organisation/

Løngreen har en fortid som centerchef på DTU, med ansvar for opbygningen af Computerome. (Han tilsvarende har erfaring med igennem en årrække) .

15.06.18: https://itwatch.dk/ITNyt/Profiler/article10690723.ece

https://ngc.dk/media/7480/cv-short-peter-loengreen-2019-final90-1.pdf

https://www.version2.dk/sog/peter%20l%C3%B8ngreen

Han burde vel i grunden have styr på dette ^^. Burde han ikke?

Jeg orker ikke flere (dårlige) undskyldninger!

Det er halvandet år siden, at Novo Nordisk bevilgede 1 milliard kroner til Nationalt Genom Center.

21.12.18: https://politiken.dk/indland/art6933287/Novo-fond-giver-en-milliard-til-nyt-gen-center

Derudover har Nationalt Genom Center været en del år undervejs, efterhånden.

Lovgivningsmæssigt (L 146) fremsat og vedtaget i 2018.

http://www.ft.dk/samling/20171/lovforslag/L146/index.htm

Og som en del af strategien om ”Personlig Medicin”, lanceret tilbage i 2016:

http://www.sum.dk/Temaer/Personlig-medicin.aspxhttps://sum.dk/Aktuelt/Nyheder/Sygehusvaesen/2016/December/~/media/Filer%20-%20dokumenter/National%20strategi%20for%20Personlig%20Medicin.ashx

Lige så vel som ”supercomputeren”, Computerome, der skal håndtere data, har været længe undervejs (det ved IT-hajerne her bedre end jeg).

https://www.version2.dk/sog/computerome

Nationalt Genom Center åbnede 1. juli sidste år.

Så ovenstående banalitet (i denne sammenhæng) har der vel egentlig været rigelig tid til at bringe i orden.

https://www.cancer.dk/detgaarpengenetil/?status=0&category=4&year=0&pool=0&disease=0

Jeg har bestemt forståelse for at mennesker med livstruende sygdom ønsker at der forskes i behandlinger. I min nærmeste familie har der også været et tilfælde af den meget alvorlige sygdom som du nævner.

Og jeg ville fuldt ud accepterer det, om så staten opbevarede borgernes mest fortrolige oplysninger på Google Drive, forudsat at det sker med den enkelte, myndige borgers fulde accept, og på et fuldt oplyst, ærligt og frivilligt grundlag.

Ingen af delene er tilfældet hos Nationalt Genom Center. Og min holdning er, at prøver man at tage, uden at spørge først (-og respektere det svar man får), så skal man intet have overhovedet. Det er en holdning som jeg også vil stå ved hvis det skulle udelukke mig fra visse behandlinger. Præcis ligesom jeg ikke vil tage imod en ny nyre fra en ufrivillig donor.

Et samfund som gennemtvinger hånds- og halsret over individets indre, om det så er deres væv, DNA, tanker eller følelser, er efter min mening hverken værd at samle på eller stole på. Jeg foretrækker at have en kortere forventet levetid, end at lade mig blive frarøvet retten til min egen krop og privatliv. Også for mine børns skyld.

uafhængige <strong>revisor</strong> forhåbentlig

Jeg opdagede forsent at der manglede ordet revisor

Hvis Digst har udtalt/skrevet dette...

sikrer ISO-standarden, at ledelsen i myndighederne er klædt på til at tage de rigtige beslutninger i forhold til at sikre et passende sikkerhedsniveau.

Så står det slemt til

En ISO 27001 certificering sikre kun at det certificerende organ kun har udstedt et certifikat, hvis organet mener at modtageren har fortjent det. For at have fortjent det skal modtageren vise, firkantet sagt, at ledelsen hos modtageren tager stilling til hvilke kontroller der skal implementeres og hvor effektive kontrollerne skal være.

Det betyder at ledelsen kan accepter en risiko/dårlig it sikkerhed, der ikke hører til hos en offentlig virksomhed!

I en privat virksomhed vil den uafhængige forhåbentlig påtale den høje risikoaccept (going concern), men en offentlig virksomhed er ikke udsat for sådan en revision, da offentlige virksomheder ikke kan gå konkurs mv.

Vi er mange der er helt afhængige af en sidste chance for at forlænge livet lidt, hvis en DNA analyse kan hjælpe med at finde alternativ behandling - kræft i bugspytkirtelen. Selv om det sikkert er godt med den ISO, så har jeg været med til så mange iso'er i mit liv, som ikke giver grundlæggende forandringer i sig selv, så det bør ikke være første prioritet. Pengene er skænket af Novo, så det ville være dejligt at komme i gang.