Myndighedernes behandling af vores følsomme data er bekymrende

Når vi indtaster vores CPR-nummer på NemID, opgiver personfølsomme oplysninger til sundhedssystemet, eller på anden vis giver vores data ud til forskellige myndigheder, så har vi også en klar forventning om, at vores data derefter bliver beskyttet ordentligt. En ny beretning fra Rigsrevisionen viser dog, at netop dette område halter, når det kommer til outsourcing af persondata.

Det er nemlig sjældent, at det er den myndighed, vi giver vores oplysninger til, der også er dem, der skal beskytte den efterfølgende. Danmark er et af de lande i EU, der outsourcer den største andel af vores statslige it-systemer til både danske og udenlandske virksomheder samt globale cloud-udbydere. Det er der i og for sig intet galt i. Problemet opstår, når myndighederne ikke har sikret sig, at de lovkrav, der er til databeskyttelsen, er opfyldt. Og de lovkrav er der af en grund.

Tidligere har der nemlig været eksempler på, at hackere har fået adgang til følsomme personoplysninger fra Rigspolitiet, SKAT, CPR-kontoret og Moderniseringsstyrelsen gennem myndighedernes databehandler CSC. Roskilde Kommune mistede i 2018 over 80.000 dokumenter fra sit sundheds- og omsorgssystem, fordi kommunens databehandler KMD benyttede en underdatabehandler i Indien, som havde et servernedbrud, og en teknisk fejl på KMD’s side gjorde, at en backup ikke blev foretaget korrekt. Udover det har Center for Cybersikkerhed hvert år i perioden 2016-2019 vurderet truslen for cyberkriminalitet og cyberspionage mod Danmark til at være meget høj.

”Det er kritisabelt, at de offentlige myndigheder ikke sikrer borgernes persondata godt nok, når de outsourcer opbevaring af data til eksterne leverandører. Styringen af de eksterne databehandlere skal styrkes, så borgernes personfølsomme og fortrolige data sikres som forudsat i lovgivningen,” skriver Statsrevisorerne i beretningen og uddyber:

”Statsrevisorerne påtaler i den forbindelse, at myndighederne ikke har overholdt reglerne om databeskyttelse, herunder krav om at udarbejde risikovurderinger, indgå databehandleraftaler og føre tilsyn med databehandlerne, som har været gældende siden 2000.”

Reglerne blev dog skærpet markant med GDPR-reglerne i 2018. Statsrevisorerne kritiserer derfor yderligere, at væsentlige vejledninger fra Justitsministeriet og Finansministeriet først udkom, efter at myndighederne skulle have implementeret GDPR. Yderligere kritiseres Datatilsynet for ikke at have ført et risikobaseret tilsyn og for ikke at have opdateret sin strategi, siden GDPR blev gældende.

Ender i de forkerte hænder

I undersøgelsen, hvor der er blevet gennemgået 148 it-systemer, har Rigsrevisionen fundet frem til, at myndighederne ikke har udarbejdet en risikovurdering for 58 procent af de it-systemer, der er blevet outsourcet. Der er i 14 procent af tilfældene ikke indgået en databehandleraftale, og i 23 procent af tilfældene har myndighederne ikke ført tilsyn og derved undersøgt, om databehandlerne overholder aftalen samt databeskyttelsesreglerne. Og i forbindelse med 24 procent af de outsourcede it-systemer har myndighederne ikke haft kendskab til samtlige af de underbehandlere, der har håndteret deres følsomme og fortrolige persondata.

”Risikovurderinger, databehandleraftaler og tilsyn har samlet set det formål, at dine og mine data, som myndighederne outsourcer, beskyttes godt nok. Derfor er alle elementerne nødvendige. Uden en risikovurdering kan myndigheden ikke indgå den rigtige databehandleraftale. Uden en databehandleraftale har myndigheden ikke sikret sig, at den nødvendige sikkerhed er til stede. Og uden tilsyn ved myndigheden ikke, om databehandleren overholder aftalen,” siger Kristian Voss Olesen, der er Rigsrevisionens projektleder på undersøgelsen og beretningen.

Når der ikke er gennemført en risikovurdering, har myndigheden ikke vurderet, hvilket sikkerhedsniveau der er nødvendigt for de data, myndigheden ønsker at outsource, forklarer Kristian Voss Olesen.

”Dermed får myndighederne ikke stillet sig selv de helt centrale og vigtige spørgsmål, inden de overlader behandlingen af data til andre. Fx spørgsmål om, præcis hvilke data de overlader til andre, og hvilken betydning det vil have for de registrerede personer, hvis data går tabt eller kompromitteres. Svarene på de spørgsmål skal hjælpe myndighederne til at stille de rette krav til datasikkerhed i databehandleraftalen, og hvilke områder deres tilsyn skal fokusere på,” siger han og uddyber:

”Når myndigheden ikke har indgået en databehandleraftale, har myndighederne ikke det helt grundlæggende juridiske dokument, der definerer, hvad databehandleren må gøre med borgernes data. Dermed har myndigheden fx ikke et klart juridisk krav på, at databehandleren sletter data, efter samarbejdet ophører, eller afgrænset, hvor i verden data må opbevares.”

I forhold til vigtigheden af at føre tilsyn, så er de myndighedernes sikkerhed for, at de sikkerhedskrav, de har lagt sig fast på i en databehandleraftale, også bliver overholdt.

”Uden tilsyn er der en risiko for, at myndigheden ikke har viden om, hvordan data i praksis behandles. I vores undersøgelse har vi fx set problemer med, at myndighederne ikke kender til alle de underdatabehandlere, som behandler borgernes følsomme og fortrolige oplysninger. Og det overblik kan være svært at bevare, hvis ikke man løbende tjekker op på, om databehandleren overholder de vilkår, man har aftalt, og kun benytter de underdatabehandlere, som de har fået lov til, ” siger Kristian Voss Olesen og tilføjer:

”Først og fremmest øger det risikoen for, at borgernes personoplysninger ender i de forkerte hænder eller går tabt.”

Region Midtjylland: Det er et spørgsmål om ressourcer

Undersøgelsen omfatter Region Midtjylland som eneste myndighed på det regionale niveau, samt 17 ministerier – alle på nær Udenrigsministeriet, som oplyser, at de ikke har outsourcet opbevaringen af følsomme eller fortrolige persondata. Region Midtjylland er altså taget med som en ’case’ på regionerne, som Rigsrevisionen mener er relevante at undersøge, grundet den store mængde af især helbredsoplysninger, som de behandler for deres borgere.

It-direktør i Region Midtjylland, Claus Wegener Kofoed, tager kritikken meget alvorligt.

”Man skal altid lytte til, hvad Rigsrevisionen siger, når de kommer ud med noget, og det tager vi selvfølgelig til os.”

Han fortæller, at årsagen til, at de ikke har kunnet leve op til kravene, bunder i mangel på tilstrækkelige ressourcer, som har bevirket, at de har måttet prioritere andre systemer end lige præcis dem, der har været med i undersøgelsen.

”Når vi har så stor en volumen, som vi har, må vi lave en risikobaseret tilgang og kigge på, hvad er vigtigst. En videreudvikling af sundhedsvæsenet, der kræver, at vi f.eks. laver nye systemer eller nye forskningsprojekter, og som kræver databehandleraftaler – det er første prioritet hos os. Så har vi de meget kritiske systemer, f.eks. vores EPJ-system (elektronisk patientjournal, red.), der også har en enorm høj prioritet. På tredjeprioriteten, der havner vi i nogle projekter, nogle systemer, der selvfølgelig også er vigtige, men de er ikke prioriteret lige så højt som de andre. Der skal man også kigge på, hvor mange ressourcer vi har til rådighed,” fortæller han og fortsætter:

”Det er ikke sådan, når vi laver en databehandleraftale, at der så ikke er blevet foretaget en risikovurdering inden. Men det er korrekt, at der ikke er nogen skriftlig risikovurdering.”

Denne tilgang, mener han, netop er grunden til, at borgere i Region Midtjylland ikke har grund til at være nervøse for deres egne følsomme eller fortrolige persondata.

”Mine egne data ligger der jo også, og jeg er ikke nervøs for dem. Jeg vil sige, at hvis vi ikke kørte en risikobaseret tilgang og ikke tog det, der var vigtigst først, så ville jeg måske være bekymret. En af kriterierne, når vi skal prioritere, det er jo netop, hvor mange personfølsomme data der ligger i det givne system.”

Sammenligningen holder ikke

På samme tid mener Claus Wegener Koefoed heller ikke, at sammenligningen mellem regionerne og ministerierne holder en til en, da deres virkeligheder er meget forskellige.

"Vi står også med en it-portefølje på cirka 1500 systemer. Vi har lavet 557 databehandleraftaler siden 2014. Alene sidste år lavede vi 188 databehandleraftaler, så vi kører jo en stor maskine indenfor det område her. Vores volumen er noget større, vil jeg sige, og derfor ved jeg ikke, om man kan sammenligne med de øvrige myndigheder. Men uagtet det, skal man altid lytte til, når der kommer noget fra Rigsrevisionen.”

Til bemærkningen om, at det kan være svært at sammenligne på tværs, lyder svaret fra Rigsrevisionen:

”Vi har gennemgået 10 it-systemer fra alle de myndigheder, som havde 10 it-systemer eller flere, der lå inden for undersøgelsens afgrænsning. Vi gør det meget klart i beretningen, at vi kun sammenligner på tværs af de it-systemer, som vi gennemgår i denne undersøgelse, og ikke generaliserer til it-systemer, som ikke er omfattet af denne undersøgelse. Når vi fremhæver Region Midtjylland som en myndighed, der klarer sig dårligere end andre myndigheder, er det derfor alene på baggrund af de systemer, som vi har undersøgt. Lovkravene gælder for alle de it-systemer, som indgår i undersøgelsen,” siger Kristian Voss Olesen.

En anden kritik, regionerne er kommet med, er, at vejledningerne generelt er udkommet for sent, og har i deres indhold været for overordnede til at være retningsgivende i arbejdet med outsourcing af persondata.

I Rigsrevisionens undersøgelse har 14 % af myndighederne angivet, at de har manglet vejledningsmateriale om cloud-services. 30 % af myndighederne vurderede, at de i nogle tilfælde selv har igangsat initiativer på baggrund af GDPR, som efter deres vurdering kunne have været undgået, hvis vejledningerne havde været mere konkrete, mere omfangsrige eller var udkommet tidligere, lyder det i beretningen.

Derfor har Region Midtjylland i samarbejde med de øvrige regioner udarbejdet egne skabeloner til bl.a. databehandleraftaler og konsekvensanalyser.

”Herunder har regionen oplevet, at vejledningen om dataansvarlige og databehandlere ikke skaber klarhed om, hvornår der er tale om behandling af personoplysninger, som kræver en databehandleraftale. Forsinkelsen af vejledningen om brug af cloud og vejledningen om lokationskravet (tidligere krigsreglen) har desuden været medvirkende til, at regionen har været tilbageholdende med at anvende cloud-løsninger,” fastslås det i rapporten.