Det er utilfredsstillende, at de statslige institutioner ikke beskytter fortrolige oplysninger om personer og virksomheder tilstrækkeligt.
Sådan lyder konklusionen på en undersøgelse, som Rigsrevisionen har foretaget af Skat, Rigspolitiet, Forsvarskommandoen, Socialstyrelsen, Sundhedsstyrelsen, Arbejdsskadestyrelsen, Institut for Menneskerettigheder og Danmarks Statistik. Institutionerne er udvalgt, fordi de alle behandler fortrolige oplysninger om borgere.
Ingen af de undersøgte institutioner efterlever alle de krav til behandling af fortrolige personoplysninger, som de ellers er forpligtede til i henhold til sikkerhedsbekendtgørelsen i persondataloven ifølge rapporten.
»Selv institutioner som Danmarks Statistik, Rigspolitiet og Skat, der er vant til at håndtere store mængder fortrolige oplysninger, har i de undersøgte systemer ikke efterlevet sikkerhedsbekendtgørelsens krav på flere punkter,« skriver Rigsrevisionen i rapporten.
Systemerne, som blev undersøgt, gemmer blandt andet på oplysninger om arbejdsskader, sygdomme, kriminalitet, lægebesøg, løn og fravær, sociale forhold, personlig medicin, virksomheders skatteoplysninger m.m.
Læs også: Offentlige myndigheder sender personfølsomme oplysninger med ukrypteret mail til forkerte modtagere
Socialstyrelsen får bundkarakter
Mens ingen af de undersøgte myndigheder lever op til alle kravene i loven, så er det i Socialstyrelsen, det står værst til med sikkerheden. På 9 ud af 11 undersøgte punkter lever styrelsen ikke tilfredsstillende op til sikkerhedskravene. Blandt andet bliver der ikke fulgt op på afviste adgangsforsøg til it-systemerne, der mangler aftaler med databehandlerne, og der er ingen retningslinjer for tilsyn med sikkerheden.
Institut for Menneskerettigheder skraber også bunden af listen med i alt syv utilfredsstillende punkter på listen. Lige herefter kommer Skat, Rigspolitiet og Danmarks Statistik, der alle fejler på seks af de undersøgte punkter. Blandt andet mangler der regelmæssig kontrol med brugeradgangen hos Rigspolitiet og Skat. Ingen af de tre myndigheder har retningslinjer for tilsyn med sikkerheden.
Forsvarskommandoen klarer sig »bedst« i undersøgelsen med i alt 2 utilfredsstillende forseelser ud af 11 mulige.
Især fejler myndighederne med regelmæssigt at opdatere retningslinjerne for at sikre personoplysninger. Det er der ingen af de undersøgte institutioner, der gør. Ligeledes er der heller ingen – Forsvarskommandoen undtaget – som har retningslinjer for tilsyn med it-sikkerheden.
Det kniber også med jævnligt at kontrollere brugeradgangen til systemerne, slette logregistreringerne samt at følge op på databehandleraftaler.
Rigsrevisionens undersøgelse foregik i perioden mellem januar og maj 2014.
Leave a Reply