Der var ikke mange formildende ord til overs for de offentlige myndigheders behandling af borgernes personfølsomme oplysninger.
Onsdag var der høring i Retsudvalget i Folketinget, hvor en særligt nedsat arbejdsgruppe om datasikkerhed havde indkaldt en række sikkerhedseksperter til at tage bestik af it-sikkerheden i det offentlige. Og resultatet var ikke til at tage fejl af.
Især står det grelt til med medarbejdernes daglige håndtering af borgernes personfølsomme oplysninger ifølge Datatilsynet.
Gentagne gange havde Datatilsynet taget medarbejdere i at sende ukrypterede mails med borgeres personfølsomme oplysninger, der også i nogle tilfælde havnede i hænderne hos forkerte modtagere. Og det på trods af, at alle myndighederne har mindst en løsning til at sende krypteret post ifølge Datatilsynet.
»Det må kunne gøres bedre. Vi har mange gange været nødt til at gøre opmærksom på, at der er behov for mere instruktion af medarbejdere. Og jeg frygter at de steder, hvor vi har set problemer, ikke er de eneste,« sagde kontorchef i Datatilsynet Lena Andersen under høringen.
Dette billede blev bekræftet af Steen Bernt Jensen, der er chefkonsulent hos Rigsrevisionen:
»Hvis man ser på de statslige myndigheder generelt, så er der rigtig mange virksomheder, som behandler personlige data som om, de ikke var personlige data«
Rigsrevisionen lavede i 2013 et sikkerhedstjek af en række offentlige virksomheder, hvor den fandt, at stort set ingen levede op til bare tre helt basale sikringstiltag.
Blandt andet var der ikke nogen af virksomhederne, der havde begrænset download af programmer fra internettet. Der var heller ikke nogle, der havde begrænset brugen af lokale administratorer. Nogle enkelte havde sat procedurer for at opdatere programmerne op, men de programmer, der skulle have været opdaterede, viste sig ikke at være det endnu.
Der var desuden heller ikke nogle af virksomhederne, som havde overvejet risikoen for hackerangreb.
»Vi fandt, at de data, som virksomhederne havde ansvar for, ikke var tilstrækkeligt beskyttet. Med det sikkerhedsniveau var der en ret stor risiko for hackerangreb og misbrug af data,« sagde Steen Bernt Jensen.
Manglende stikprøver i borgerservicecentre
Blandt myndighedernes eksterne databehandlere, er der også problemer med at få givet de rette sikkerhedsinstrukser til medarbejderne ifølge Datatilsynet.
»På nogle inspektioner har vi konstateret, at der manglede kendskab til, hvordan meget følsomme oplysninger om børn var beskyttet. Og man vidste heller ikke, hvilket firma der håndterede oplysningerne i det daglige,« sagde Lena Andersen.
Hun løftede ikke sløret for, hvilke konkrete myndigheder og leverandører, der var mål for kritikken, men Datatilsynets har tidligere offentliggjort, hvordan blandt andet Rebild Kommune har forbrudt sig mod persondataloven ved at sende personfølsomme oplysninger ud via ukrypteret mail.
Det sidste års tid har Datatilsynet lavet inspektioner af borgerservicecentre rundt i landets kommuner, hvor der i flere tilfælde heller ikke blev levet op til sikkerhedskravene.
Det er en del af myndighedernes ansvar at have tilsyn med deres databehandlere, heriblandt at føre stikprøvekontrol med loggen.
»Alligevel viser det sig, at den stikprøvekontrol ikke sker. Nu vil vi ud og se på det i andre kommuner,« siger Lena Andersen.
Ønske om straf til de ansvarlige bag sikkerhedsbrister
Budskabet fra Kommunernes Landsforening (KL) var dog mere optimistisk under høringen:
»Jeg mener, at kommunerne gør det rigtig godt. Vi sætter en stor ære i at passe på borgernes data,« sagde Henrik Brix, der blandt andet er medlem af KL’s it-kontaktudvalg og formand for kommunernes IT-Arkitekturråd, under høringen.
»Det er ikke de helt store sager, der har været. Og fordi der er fodfejl, er det ikke ensbetydende med, at data er blevet kompromitteret,« sagde han.
Det er i dag begrænset, hvor mange myndigheder Datatilsynet holder stikprøver hos. Datatilsynet vælger et område som fx borgerservicecentre ud og fokuserer således på dem. Og i de tilfælde, hvor datatilsynet opdager noget kritisabelt, kan det maksimalt udløse en løftet pegefinger.
Derfor pegede Lena Andersen også på muligheden for at udvide Datatilsynet og at undersøge muligheden for at kunne straffe de myndigheder, der overtræder persondataloven.
Dette sidste synspunkt blev understøttet af freeBSD-udvikleren og Version2-bloggeren Poul-Henning Kamp, der også deltog i høringen.
»Det er kun et spørgsmål om tid, før computere begynder at slå folk ihjel. Og det rejser så spørgsmålet om, hvem der er ansvarlig for den computer, der slår folk ihjel. Måden man løser uløselige problemer i jura er, at man gør det til nogens problem,« sagde han under høringen.
Læs også: Spætter, spætter overalt…
Der er dog også andre måder at styrke it-sikkerheden på ifølge Rådet for Digital Sikkerhed.
Eksempelvis ved at bringe it-sikkerhed ind i virksomhedernes risikoanalyser og skrive krav til sikkerheden ind i det offentlige udbudsmateriale.
»Vi laver risikoanalyser på mange måder i dag, så vi skal bare have it-sikkerheden med ind i det. For så vil det være et naturligt incitament til at øge sikkerheden,« sagde formanden for Rådet for Digital Sikkerhed, Birgitte Kofod Olsen, under høringen.
Hun påpegede også behovet for en whistleblower-løsning, så it-medarbejdere har mulighed for at afsløre sikkerhedsbrister uden at frygte repressalier fra arbejdsgiverne.
Rigsrevisionen er i øjeblikket ved at lægge sidste hånd på en systematisk undersøgelse af otte store virksomheder, og hvordan de lever op til sikkerhedsbekendtgørelsen. Undersøgelsen bliver taget op af statsrevisorerne den 12. november i år.
Se høringen på Folketingets tv-kanal.
Leave a Reply