0
Læs nu

Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon
Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Næste:
Næste:
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

Ekspert om Rigsrevisionens skarpe kritik: »Det er et brud på den tillid, der skal være, når man opbevarer data«

Rigsrevisionen kritiserer myndighederne for ikke at være gode nok til at sikre borgernes følsomme og fortrolige persondata, når behandling af data udliciteres til private virksomheder. »Det sætter borgernes tillid til systemet over styr«, siger ekspert i it-sikkerhed.

Der er ikke oplæsning af denne artikel, så den oplæses derfor med maskinstemme. Kontakt os gerne på automatiskoplaesning@pol.dk, hvis du hører ord, hvis udtale kan forbedres. Du kan også hjælpe ved at udfylde spørgeskemaet herunder, hvor vi spørger, hvordan du har oplevet den automatiske oplæsning.

Spørgeskema om automatisk oplæsning
Lasse Kofod
Foto: Lasse Kofod

Rigsrevisionen kritiserer myndighederne for ikke at sikre borgernes følsomme og fortrolige persondata, når behandling af data udliciteres til private virksomheder.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst
Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Borgernes følsomme og fortrolige persondata er langt fra sikret godt nok.

Det fastslår Rigsrevisionen i en ny beretning. Her har man undersøgt om myndighederne har hånd i hanke med behandling af borgernes data, når de udlicitere håndteringen til private virksomheder.

»Myndighederne har samlet set ydet en utilfredsstillende indsats for at sikre, at outsourcede følsomme og fortrolige persondata om borgerne opbevares sikkert«, lyder konklusionen på den undersøgelse, der ligger til grund for beretningen. Den fortsætter:

»Konsekvensen er en øget risiko for, at borgernes følsomme og fortrolige data kompromitteres«.

I undersøgelsen indgår 17 ministerier og Region Midtjylland. Regionerne behandler mange følsomme personoplysninger, og da regionerne minder om hinanden, er kun en region medtaget. Undersøgelsen går fra april 2016, hvor EU’s persondataforordning (GDPR) blev vedtaget og til 1. januar 2020.

»Det er stærkt bekymrende at der ikke er mere sikkerhed om personfølsomme oplysninger. Det er 8 år siden, der var et kæmpelæk fra et privat firma, der administrerede data fra Skat, politiet og CPR-registeret. Det er 4 år siden statsrevisorerne udtrykte stor kritik af myndighederne på dette område – og i dag er der igen grundlag for skarp kritik. Som Rigsrevisionen skriver, er det er følsomme oplysninger – lige fra sundhedsoplysninger til politisk overbevisning«, siger Frank Aaen, der er statsrevisor. Statsrevisorerne holdt fredag møde, hvor Rigsrevisionens beretning blev præsenteret.

Det er også en sag, der gør ekspert i it-sikkerhed Peter Kruse »urolig«.

»Det er et brud på den tillid, der skal være, når man opbevarer data. Jeg vil som borger, især når vi taler om regioner, være meget betænkelig og utrolig ved, at man ikke er kommet meget længere«.

»Det er for mig at se brandærgerligt, at der er så basale ting, man ikke har styr på«, siger Peter Kruse, der også er medstifter af sikkerhedsfirmaet CSIS.

Ikke første gang

Når offentlige myndigheder indsamler personoplysninger, bliver de dataansvarlige. De får derved et ansvar for, at personoplysningerne behandles sikkert. Sådan en opbevaring kræver en særlig ekspertise, og derfor kan det være hensigtsmæssigt - både sikkerhedsmæssigt og økonomisk - at outsource til andre behandlere. Altså at overlade opgaven til en ekstern leverandør til eksempelvis en private virksomhed eller en specialiseret myndighed.

Det stiller dog krav til myndighedernes styring af de databehandlere, der behandler data om borgerne. Ifølge rapporten er Danmark blandt de lande i EU, som outsourcer den største andel af statslige it-systemer.

Undersøgelsen kommer i kølvandet på CSC-sagen, hvor hackere i efteråret 2012 udnyttede sårbarheder i it-leverandøren CSC’s it-systemer til at få adgang til blandt andet politiets, Skats og CPR-kontorets databaser.

Politiken beskrev dengang, hvordan en offentliggjort rapport kritiserede CSC for at have haft sårbare systemer. Rigspolitiet blev også beskyldt for at have været for ukritisk over for sin it-leverandør.