Umuligt at få overblik over, hvor meget dansk persondata sendes ud af EU

Illustration: ALLVISION, BigStock
Version2 har forsøgt at undersøge, hvor meget persondata regionerne sender ud af EU, men det har været problematisk for flere regioner at svare. Og det burde det ikke være, siger Datatilsynet.

Det er umuligt at danne sig et billede af, hvordan danskernes person-, sundheds- og patientdata bruges af databehandlere uden for EU.

Version2 har søgt aktindsigt hos alle fem regioner, med det simple spørgsmål: »Hvilke forskningsprojekter har regionen kørende, der benytter databehandlere udenfor EU?«

Ikke alene er svarene vidt forskellige - nogle regioner gav simpelthen op på at finde et svar, mens fx Region Hovedstaden måtte bruge tre måneder på at finde et svar.

Det er bekymrende, at det er så besværligt for regionerne at oplyse, hvilke databehandlere de benytter uden for EU, mener Jesper Husmer Vang, kontorchef i Datatilsynet:

Læs også: Region Nordjylland: Vi aner ikke om vores tilsyn med databehandlere lever op til loven

»Det lyder helt utroligt, at det skulle være så svært. Det kan godt være, at der ikke er nogen, der har et samlet overblik, men den informationen bør kunne skaffes. Det lyder bekymrende, hvis en region ikke ved, hvor mange og hvilke databehandlere, de benytter,« siger han.

»Vi kunne godt – fx i forbindelse med et tilsyn – finde på at stille de samme spørgsmål, som Version2 har stillet til regionerne, og vi ville næppe være indstillet på at vente flere måneder på et svar.«

For besværligt at få overblik

Som det fremgår af faktaboksen, valgte Region Syddanmark som den eneste region simpelthen at afvise Version2s aktindsigt, da det ville være for omfattende en opgave.

»Region Syddanmark har ikke en samlet opgørelsen over forskningsprojekter, der benytter databehandlere uden for EU. Regionen foretager en særskilt registrering og opfølgning på hvert enkelt projekt. En manuel optælling af forskningsprojekterne vurderes at tage mere end 100 timer, hvorfor dette ikke står mål med henvendelsen,« skriver Nicolai Arvedsen, funktionschef hos Region Syddanmark i en mail, der fortsætter:

»Endvidere oplyser vores jurister, at forskningsprojekter og forskningsdata ikke er omfattet af reglerne om indsigtsret. Region Syddanmark har i dette tilfælde fravalgt at anvende princippet om meroffentlighed.«

Region Nordjylland valgte en mellemvej, da det var muligt at fortælle tallene fra projekter, der var startet fra 2017 og frem.

»For så vidt angår forskningsprojekter iværksat før 2017, har Region Nordjylland ikke mulighed for at angive antallet af projekter med databehandler uden for EU, da disse projekter ikke er anmeldt i et centralt system, men registreret som enkelte projekter. Region Nordjylland ville for at kunne angive antallet af databehandlere skulle gennemgå hver enkelt projektanmeldelse,« skriver Karoline Andersen, jurist hos Region Nordjylland i en mail.

Læs også: Sundhedsplatformen: Epic udskyder igen at levere garanti for sikker databehandling

Det skal for god ordens skyld understreges, at der på papiret ikke er noget forkert i at benytte databehandlere uden for EU, men det kræver en databehandleraftale og kontrol med sikkerheden. Derfor lyder det mærkeligt, når regionerne har så svært ved at danne sig et overblik, mener Jesper Husmer Vang:

»Det burde være relativt overskueligt at oplyse, hvilket databehandlere de benytter - det skal de have styr på. De skal have en databehandleraftale med hver enkelt databehandler, ligesom de skal påse sikkerheden hos disse,« siger kontorchefen fra Datatilsynet.

Han fortæller samtidigt, at selvom Datatilsynet på nogle områder selv burde kunne holde styr på brugen af databehandlere uden for EU, så har de heller ikke et overblik, da myndigheder og virksomheder er dårlige til at holde Datatilsynet opdateret.

Tidligere sager viser, at det ofte halter med kontrollen af databehandlerne. Version2 har fx kunne berette, at Statens Serum Institut i tre år ikke har ført et eneste tilsyn med databehandlere. På samme måde har Region Syddanmark indrømmet, at man ikke har ført tilsyn med en databehandler, der stod bag et spørgeskema til regionens patienter.

Læs også: Statens Serum Institut har syltet kontrol med behandlere af persondata i tre år

»Ingen har overblik«

Patientdataforeningen ser store problemer i, at ingen har overblik over, hvor meget dansk persondata der fosser ud af EU.

»Chancen for, at man som databehandler kan føre meningsfyldt tilsyn, falder betydeligt, hvis man skal til Indien eller USA,« siger Thomas Birk Kristiansen, formand i Patientdataforeningen.

Han erkender, at der er forskningsprojekter, hvor det vil være essentielt at trække på ressourcer i resten af verden, men han mener stadig, at der er problemer i regionernes manglende overblik:

»De har tydeligvis ikke styr på deres forskningsprojekter. Alle de her data, der flyder rundt i Danmark. Der er ingen, der har overblik over, hvilke forskere der har data, eller hvilke projekter data indgår i,« siger han.

Læs også: Sundhedsplatformen sender ikke-anonymiseret sundhedsdata til USA

Og han mener, at problemet ikke kun gælder regionerne, men hele det danske forskermiljøs forbrug af danskernes persondata:

»Vi er nødt til at tale om den fuldstændigt manglende gennemsigtighed om forskningsdata i Danmark. Man aner simpelthen ikke, hvad data bliver brugt til - og der er ingen mulighed for at finde ud af det,« siger Thomas Birk Kristiansen, der tilføjer:

»Det er en kædereaktion. Først begyndte vi at samle data ind - uden at spørge om lov, så deler vi det - uden at spørge om lov, og det udvikler sig eksponentielt. Til sidst løber det løbsk, og min bekymring er, at det er ude af kontrol.«

Om det er ude af kontrol er svært at sige - for der er intet reelt overblik. Det skal understreges, at de - trods alt - overskuelige tal, regionerne oplyste afspejler samtidigt ikke, hvor meget følsom data, der sendes ud af EU.

I oversigten er udelukkende spurgt om forskningsprojekter, og der er ikke oplyst om projekter fra kommuner, ministerier, styrelser, universiteter, virksomheder eller organisationer, der alle kan benytte databehandlere uden for EU.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Supergodt graverarbejde, tak.

Området "overblik over hvad vi gør med borgernes data", er tydeligvis ingenmandsland - ingen ansvarlige myndigheder tør vove sig derind - kun modige journalister tør betræde området - med fare for stress og opgivelse (men også mulighed for at vinde stor hæder :-)) .

Og så mødes de oven i købet med "»Endvidere oplyser vores jurister, at forskningsprojekter og forskningsdata ikke er omfattet af reglerne om indsigtsret."
Det understreger jo sagens alvor - i lyset af fuldstændigt uanstændigt løse/utilstrækkelige regler om brugen af vore persondata i forbindelse med forskning, og i Mørklægningslovens/mørkelygtens grimme skær vælger vore myndigheder simpelthen at blæse på næsten alt, hvad der har med sikkerhed og kontrol at gøre.

Det passer fuldstændigt med, hvad jeg gentagne gange oplever, når jeg beder om aktindsigter i disse sager. Og hvis ikke det er "forskning", man bruger som luset undskyldning, så er det "forretningshemmeligheder" eller "for stort ressourceforbrug". Sidstnævnte også ved spørgsmål, som myndigheden i forvejen burde have fuldt tjek på, så det burde være en nem sag at besvare. Så er det jo ligefrem en tilståelsessag - "Vi har ikke styr på området".

*"»Det lyder helt utroligt, at det skulle være så svært. Det kan godt være, at der ikke er nogen, der har et samlet overblik, men den informationen bør kunne skaffes. Det lyder bekymrende, hvis en region ikke ved, hvor mange og hvilke databehandlere, de benytter,«

Ja - "bekymrende" er en kraftig underdrivelse. Hvis man ikke har overblik over det, hvordan vil man så føre tilsyn? Det kan jo kun betyde, at der ingen overordnet ansvarlig er i regionerne - man overlader alt ansvaret for tilsynet til de enkelte projekter, og der har vi jo allerede for nylig set i iPsych-projektet, hvordan det så går. De enkelte projekter har jo hverken indsigt, ekspertise, tid eller midler til at fare verden rundt og føre tilsyn. Så realiteten er, at det er tvivlsomt, om der nogensinde har været ført et eneste tilsyn med vore persondatas skæbne nogen steder - hvis ikke pressen har boret i sagen.

Som jeg vist har sagt en del gange før, og som provokerer nogle, så er der aktuelt kun en ting at gøre for at beskytte sine persondata i forbindelse med forskning, og det er simpelthen at sige "Nej"!!!! (når man altså overhovedet får mulighed for det). For som Richard Quest i går udtalte på CNN i et indslag med interview med en sikkerhedsekspert i anledning af endnu et stort kreditkortlæk: " Er sandheden ikke, at i det øjeblik, vi har sluppet data, så har vi absolut ingen mulighed for at vide, hvor de havner?" (sådan ca.) Konklusionen kom efter ekspertens forslag om, at virksomheder bør følge op på sikkerheden i alle led - ikke kun indenfor virksomhedens egne vægge.

Det samme mht. forskningsdata, sundhedsdata og andre data i Danmark. Der er kun en vej til at beskytte dem, og det er helt at undlade at indsamle dem - for danske myndigheder har ikke bare ikke evnen til at beskytte dem - de har slet ikke viljen.

  • 16
  • 0
Frithiof Jensen

Man burde måske også grave lidt i hvordan incitamenterne er skruet sammen?

Jeg kunne godt mistänke at man har kopieret nogle af teknikkerne fra de mere farverige aktörer inden for "det private erhvervsliv", dem der altid leder til en omfattende regulering af området. Det er, for eksempel, velkendt at når man rundhåndet belönner resultater, uanset hvordan disse er opnået og så "bare" löfter barren lidt hvert år, så er det kun et sprögsmål om tid indtil de ansatte selv begynder at snyde og fuske for at nå frem til Belönningen (de ansatte er jo eksperterne på området så de ved bedst hvordan man nemmest "flytter nålen" i den önskede retning).

Når skandalen senere ruller så kommer de gamle travere frem med at "man absolut ikke kunne forestille sig / vide noget om"; Det er nästen som om at jo mere uvidende og fantasilös personen for bordenden kan väre, jo höjere er gagen også..

Hvis er på tilsvarende måde ikke er nogen negative konsekvenser for ikke at overholde gäldende lovgivning inden for data -sikkerhed og -behandling (måske snarere det modsatte), så kunne man jo komme til at "glemme" at göre det, booke effektiviseringsgevinsten på ikke at have så meget adminstrativt bövl, og så bare rejse lidt ekstra for bonusen?

Incitamenterne "siger" måske at: Det er det "Samfundet" vil have eftersom det er den form for lederskab som indirekte belönnes.

  • 5
  • 0
Kim Madsen

Desværre.... Jeg har skrevet om det mange gange.
Een ting er at man ikke har styr over hvad der sker når data transmitteres/håndteres, men man har heller ikke styr over data når de lagres i skyen.

Oursourced cloud løsninger er den største enkeltfaktor til ekstrem dårlig datasikkerhed, uanset valg af kryptering og det bør ALDRIG benyttes hvis data indeholder person følsomme data. Og alt der ikke er ren statistik, eller maskin gymnastik, vil indeholde personfølsomme info.

Løsning! Simpelt! Lav et inhouse datacenter, eller i det mindste incountry datacenter, som ikke ejes af udenlandske aktører, og som ikke kan afhændes til udenlandske aktører.

mvh
Kim Bo

  • 3
  • 0
Anne-Marie Krogsbøll

Oursourced cloud løsninger er den største enkeltfaktor til ekstrem dårlig datasikkerhed, uanset valg af kryptering og det bør ALDRIG benyttes hvis data indeholder person følsomme data.


Så kan det da i den grad bekymre, at IBM's Watson så vidt jeg ved (fra aktindsigt - men kan selvfølgelig have misforstået noget) opbevarer sine data i skyen - herunder f.eks. de patientdata, som indgår i Region Hovedstadens forsøgsprojekter med IBM. Efter hukommelsen betinger IBM sig i kontrakten vedr. det oprindelige projekt (jeg har ikke den nye kontrakt) netop, at de har lov til det.

  • 3
  • 0
Kim Madsen

Absolut!
Der er nogle ting som jeg synes folk glemmer... cloud og datacentre og centraliserede online løsninger fr aIT leverandører, er IKKE lavet for at højne sikkerheden, mindske omkostningene og forbedre forholdende for kunden. Der er udelukkende lavet for at IT leverandøren kan flytte flere mønter ind i kassen end der flyttes ud af den.

Det er faktisk et sandhedsforvrængende ord.... "løsning". For det er sjældent en løsning, men istedet for et salgs fremmende produkt, som typisk indeholder flere nye udfordringer.

Og når IT leverandørerne så synes der ikke flyttes mønt nok ind i kassen ved at levere produktet, så kigges der på om de data som der er kommet ind i produktet i sig selv kan generere mønt, eller om metadata omkring data (brugs mønstre og lign.) kan.

Og surprise (igen not!), så viser det sig at data og metadata ofte er det mest indbringende af alt.

Jeg har (som IT leverandør selv) ikke problemer med at IT leverandører gerne vil tjene penge, men jeg synes man skal fortælle hele historien, og ikke kun de salgsfremmende dele.

mvh
Kim Bo

  • 4
  • 1
Anne-Marie Krogsbøll

Jeg har netop hørt interview med Jesper Husmer Vang (JVH) i orientering fra i går (kl. 17.51):
https://www.dr.dk/radio/p1/orientering/orientering-2018-04-03

JHV gentager sin kritik og sin bekymring over fundene i artiklen - men umiddelbart vil Datatilsynet ikke følge op på sagen, for "vi ved jo ikke, om der foreligger en overtrædelse af loven, vi ved bare, at man enten ikke har villet eller ikke har kunnet svare nogle journalister indenfor en eller anden frist..(.........) ..men vi kan jo ikke vide, om de specifikt har overtrådt nogen regler, det ved vi jo ikke, så der må tvivlen jo indtil videre komme dem til gode....."

Det synes jeg godt nok er for slapt! Jeg går ud fra, at det skyldes evindelig ressourcemangel hos Datatilsynet - men set fra borgersynspunkt er den reaktion fuldstændigt utilstrækkelig. Artiklen peger på meget bekymrende mangel på overblik i regionerne, og JHV peger selv på, at det giver anledning til bekymring for, hvad der gemmer sig af øvrige forsømmelser bag dette. Så man burde kunne forvente af Datatilsynet, at de følger op på sagen, og beder om at få ordentlige svar fra regionerne. At henvise til, at det da kan være, at man engang - i forbindelse med de øvrige tilsyn i regionerne - måske (måske ikke?) selv kan finde på at spørge om det samme - det er altså for ringe, og tyder på, at man ikke tager sagen tilstrækkeligt alvorligt.

Eller er forklaringen, at ingen indenfor systemet faktisk overhovedet ønsker at få afdækket disse forhold - for det er simpelthen for pinligt, bekymrende og ubelejligt ift. de aktuelle regeringsambitioner om genomcenter, nextpartnership og salg af Danmark som hele verdens digitale forsøgsdyrsstald for sundhedsforskning?

JHV har så meget uld i mund i indslaget, at jeg da ikke kan lade være med at spekulere på, om der mon er nogen højere oppe, der "læner" på ham og Datatilsynet for ikke at bore for meget i denne sag.

Måske en helt ubegrundet mistanke, men jeg forstår altså ikke Datatilsynets valne reaktion. Jeg har selv opbrugt min ration af aktindsigter ift. Datatilsynet for en periode, men jeg vil da opfordre andre til at forsøge sig med aktindsigt ift. kommunikation mellem Datatilsyn, regioner og ministerier vedr. version2´s artikel.

  • 4
  • 0
Log ind eller Opret konto for at kommentere