Danskernes følsomme personoplysninger i statens registre havner ofte i hænderne på private virksomheder, når opgaven bliver outsourcet, måske af sparehensyn.
Men der eksisterer ingen central myndighed, der godkender de private leverandørers it-sikkerhed, inden de overtager driften. Det er op til den enkelte myndighed at gennemskue, om forholdene er i orden.
Peter Lind Nielsen, der er ekspert i it-ret og har stor erfaring inden for persondataret og it-sikkerhed, mener, at det kan være en uoverkommelig opgave for myndighederne at gennemskue virksomhedernes it-sikkerhed.
»Man kan nogle gange godt stille spørgsmålstegn ved, hvor tilbundsgående undersøgelser, der egentlig bliver foretaget. Det kompliceres ofte ved, at grunden til, at myndigheder outsourcer driften i første omgang, er fordi, de ikke har it-kompetencerne selv,« siger Peter Lind Nielsen til Version2.
Overordnede regler for sikkerhed
De overordnede regler for omgang med personoplysninger i Danmark står i Persondataloven. For den offentlige forvaltning gælder yderligere et sæt skærpende sikkerhedsbestemmelser, der findes i den såkaldte sikkerhedsbekendtgørelse.
»Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger,« lyder det i sikkerhedsbekendtgørelsens § 3.
Myndigheden skal altså selvstændigt sikre sig, at it-sikkerheden hos den konkrete leverandør lever op til bestemmelserne i sikkerhedsbekendtgørelsen.
Datatilsynet er sat i verden for at holde opsyn med, om disse regler bliver overholdt i praksis, og som udgangspunkt skal en databehandling, der indbefatter personoplysninger, meldes til tilsynet, inden behandlingen går i gang. Men tilsynet har ingen magt over, hvilken leverandør den enkelte myndighed vælger at bruge.
Anmeldelsen til Datatilsynet vedrører nemlig hovedsageligt selve databehandlingens formål og handler som sådan ikke om de it-systemer, der skal varetage oplysningerne.
‘Det er ikke de enkelte registre eller IT-systemer, men derimod behandlinger af personoplysninger, der skal anmeldes. En anmeldelse skal udformes som en generel beskrivelse af myndighedens sagsgange vedrørende et bestemt sagsområde,’ skriver Datatilsynet i sin vejledning til offentlige myndigheder.
‘Myndigheden behøver derfor alene én anmeldelse på et område, selv om der benyttes mere end ét IT-system. Hvis myndigheden benytter systemer, der bevirker, at oplysningerne f.eks. lagres på en server hos IT-leverandøren, skal sådanne leverandører anføres som databehandlere på anmeldelsesblanketten,’ skriver Datatilsynet.
Skriftlig aftale er påkrævet
Som dataansvarlige er det de offentlige myndigheder, der står på mål for it-sikkerheden hos databehandleren, når de outsourcer driften af eksempelvis et offentligt register. Derfor skal myndigheden indgå en skriftlig aftale med leverandøren, der blandt andet skal slå fast, at den private leverandør forpligter sig til at leve op til reglerne i sikkerhedsbekendtgørelsen.
Hvad angår specifikke systemkrav og sikkerhedsprocedurer, kan myndigheden vælge at specificere konkrete krav i den såkaldte databehandleraftale, men også her kan myndighedens it-kundskaber komme til kort.
»Ofte indeholder selve databehandleraftalen ikke ret meget andet, end den standardformulering, som ligger på Datatilsynets hjemmeside. Det er sjældent, at man som kunde går ned og blander sig i den præcise teknik og setup’et,« siger Peter Lind Nielsen til Version2.
Rigspolitiet har eksempelvis en sådan aftale med it-leverandøren CSC, der flere gange har været i vælten her på Version2 for at tage for let på sikkerheden. I juni sidste år kom det frem, at firmaet var blevet offer for et historisk hackerangreb, hvor uvedkommende fik adgang til netop Rigspolitiets systemer.
»Det er ofte sådan, at den offentlige myndighed ikke nødvendigvis har styr på præcis, hvad der skal stilles af krav længere nede i systemet, men kommer der besøg fra Datatilsynet, og det viser sig, at sikkerheden ikke lever op til kravene, falder det tilbage på den dataansvarlige, der jo står på mål for den sikkerhed, databehandleren leverer,« siger Peter Lind Nielsen til Version2.
»Det er derfor, at man fra Datatilsynets side opfordrer til, at den dataansvarlige skal lave en risikovurdering og sikre sig, at der er taget vare på visse sikkerhedsforhold,« siger han.
Han forklarer, at offentlige myndigheder i databehandleraftalen kan kræve, at leverandøren underlægger sig en årlig sikkerhedsrevision fra en tredjepart, men det er ikke noget, der påkræves i sikkerhedsbekendtgørelsen. Han mener dog, at brugen af eksterne sikkerhedsrevisorer bliver mere udbredt blandt myndigheder.
I eksemplet med Rigspolitiets aftale med CSC er der netop sådan en klausul, og revisionsfirmaet Deloitte har ad flere omgange påpeget sikkerhedsproblemer hos CSC, for eksempel at sikkerhedsopdateringer til mainframes først blev installeret tre måneder efter, de udkom.
Revisionsrapporter bliver i sin natur først udført, efter myndigheden har indgået en aftale med en privat leverandør, og indtil da er myndigheden overladt til at gennemskue sikkerhedsforholdene selv.
»For at kunne lave denne her risikoanalyse, kræver det jo en gevaldig teknisk indsigt. Man kan diskutere, om ikke leverandøren skulle have en eller anden godkendelse på forhånd til at håndtere persondata. Det ville langt hen ad vejen gøre det nemmere,« siger Peter Lind Nielsen til Version2.
Leave a Reply