Fortrolige data flyder hos det offentlige

IT-sikkerheden er slet ikke i orden, og det skal der gøres noget ved straks, kræver Rigsrevisionen efter at have undersøgt, hvordan det offentlige opbevarer danskernes og virksomhedernes personlige oplysninger.

Hverken Skat eller Socialstyrelsen har en skriftlig aftale med de eksterne virksomheder, som står for deres data, og mange steder i det offentlige kan man ikke se, hvem der har tilgået fortrolige oplysninger. Arkivfoto: Jens Nørgaard Larsen, Scanpix Fold sammen
Læs mere
Foto: Jens Nørgaard Larsen

Danskernes fortrolige oplysninger ligger på ingen måde i sikre hænder, når de gemmes i offentlige IT-systemer.

Det fastslår Rigsrevisionen i en 28 sider lang rapport om statens behandling af fortrolige oplysninger om personer og virksomheder, f.eks. helbredsoplysninger, skatteforhold eller strafbare forhold.

»Rigsrevisionen finder det utilfredsstillende, at institutionerne ikke beskytter fortrolige oplysninger om personer og virksomheder tilstrækkeligt,« lyder kritikken efter en undersøgelse af 11 udvalgte IT-systemer i otte statslige institutioner. »Samlet set er der ingen af de undersøgte institutioner, der efterlever alle de krav til behandling af fortrolige personoplysninger, som fremgår af sikkerhedsbekendtgørelsen, og som er en uddybning af persondatalovens bestemmelser. Danmarks Statistik, Rigspolitiet og Skat, der er vant til at håndtere store mængder fortrolige personoplygninger, efterlever på flere punkter ikke de krav, som fremgår af sikkerhedsbekendtgørelsen,« skriver rigsrevisor Lone Strøm.

Ingen besøg fra Datatilsynet

Og statsrevisorerne, som er valgt af Folketinget og følger Rigsrevisionens arbejde, er tilsvarende skarpe i deres udtalelse, fordi ingen af de undersøgte myndigheder efterlever alle de krav, som gælder for beskyttelse af private og fortrolige oplysninger.

»Statsrevisorerne kritiserer skarpt, at en række statslige institutioner ikke i tilstrækkeligt omfang beskytter fortrolige oplysninger om personer og virksomheder. Det medfører risiko for, at personer kan få krænket deres privatliv, og at virksomheder kan miste konkurrencefordele, fordi personer, private virksomheder og offentlige myndigheder kan få adgang til fortrolige oplysninger, som de ikke er berettigede til. Statsrevisorerne finder det særdeles relevant, at flere af institutionerne meget hurtigt har iværksat tiltag, der skal imødegå kritikpunkterne i undersøgelsen,« lyder det spidst.

Samtidig kritiseres Datatilsynet for ikke at have ført tilsyn med de otte undersøgte IT-systemer i de seneste tre år. IT-systemerne står hos Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettigheder, Rigspolitiet, Skat, Socialstyrelsen og Sundhedsstyrelsen. Samtidig har ingen af de otte myndigheder opdateret deres retningslinier for at sikre fortrolige personoplysninger årligt.

Rigsrevisionen har skruet bissen på og selv taget initiativ til undersøgelsen i lyset af de rigtigt mange sager og den store diskussion om huller i IT-sikkerheden, som hackere kan udnytte og faktisk også har udnyttet. Mest omtalt er Se & Hør-/IBM-skandalen, hvor en medarbejder hos IBM forsynede ugebladet med kreditkortoplysninger om kendte danskere. Senest blev den svenske medstifter af den berygtede fildelingstjeneste Pirate Bay, svenskeren Gottfrid Svartholm Warg, for få uger siden idømt 3,5 års fængsel for - med hjælp fra en dansker - at have hacket den amerikanskejede IT-gigant CSCs hovedcomputere i Danmark og fået adgang til bl.a. CPR-registeret og andre statslige registre, som CSC står for driften og opbevaringen af.

Ikke nok med brandslukning

Erhvervsorganisationen Dansk Erhverv kræver øjeblikkelig opstramning af IT-sikkerheden.

»Rigsrevisionen peger på en række kritiske forhold, hvor der skal strammes op nu og her, og så sætter den en fed streg under, at sikkerhedsområdet skal opprioriteres og placeres centralt i statens IT-strategi. Det er ikke nok med brandslukning nu og her,« siger Janus Sandsgaard, fagchef for IT og digitalisering i Dansk Erhverv.

Ikke alene er hullerne i sikkerheden et problem. Det virkelige problem opstår ifølge Janus Sandsgaard, når danskerne og virksomhederne ikke har tillid til, at deres fortrolige oplysninger ligger sikkert i statslige registre og databaser.

»Det er gift for udviklingen, hvis tilliden ryger,« siger han og peger på både den igangværende digitalisering, hvor det offentlige skal spare en milliard kroner om året ved, at flere og flere ting kan klares gennem selvbetjening på nettet, ligesom virksomhedernes konkurrenceevne risikerer at blive skadet, hvis fortrolige oplysninger lækkes. Også det er der flere nylige sager om.

Ikke styr på, hvem der har adgang

Rigsrevisionen påpeger blandt andet, at medarbejderne i Danmarks Statistik ikke registreres for, hvad de søger i, selv om Danmarks Statistik ligger inde med fortrolige oplysninger.

»I praksis betyder det, at Danmarks Statistik ikke kan spore, om en medarbejder har foretaget et uberettiget opslag, hvis der f.eks. er lækket oplysninger om en persons tidligere domme,« lyder kritikken, som første gang blev rejst af Rigsrevisionen for tre år siden, uden at der er sket noget.

Hverken Skat eller Socialstyrelsen har en skriftlig aftale med de eksterne selskaber, der behandler gemte oplysninger på vegne af dem selv. I praksis har de eksterne databehandlere dermed ikke fået instruktioner i, hvordan de kan og må bruge fortrolige personoplysninger. Og kun Forsvarskommandoen følger tilfredsstillende op på den indgåede aftale gennem en revisorerklæring. Forsvarskommandoen er også ene om at føre regelmæssigt tilsyn med, at retningslinierne for tilsyn med sikkerhedsforanstaltningerne overholdes.

Hent selv Rigsrevisionens rapport (i PDF-format)
http://www.rigsrevisionen.dk/media/2011989/statens-behandling-af-fortrolige-oplysninger-om-personer-og-virksomheder.pdf