Nyhed

Statsrevisorer: myndighedernes opbevaring af outsourcede personoplysninger er utilfredsstillende

Statsrevisorerne afgav deres beretning om outsourcede personoplysninger den 15. maj 2020, hvor de afgav stor kritik af myndighedernes håndtering af outsourcede persondata. De konkluderede, at myndighederne har ydet en utilfredsstillende indsats ved outsourcing af persondata, som øger risikoen for, at borgernes følsomme og fortrolige data kompromitteres.

Statsrevisorer: myndighedernes opbevaring af outsourcede personoplysninger er utilfredsstillende
Outsourcing

I Danmark outsources en stor andel af statslige it-systemer. Det betyder blandt andet, at eksterne leverandøre kommer til at stå for opgaver som drift, vedligeholdelse og udvikling af it-tjenester. Eksterne leverandører kan fx være private virksomheder eller andre offentlige myndigheder. Rigsrevisionen har derfor foretaget en undersøgelse, som har til formål at klarlægge, om myndigheder har ydet en tilfredsstillende indsats for at sikre, at følsomme og fortrolige persondata om borgere opbevares sikkert ved outsourcing. Rigsrevisionen har hertil gennemgået 148 it-systemer, hvor myndigheder har outsourcet opbevaring af personoplysninger. Det gælder fx myndigheder som Udlændinge- og Integrationsministeriet, Region Midtjylland og Finansministeriet.

Statsrevisorernes bemærkning – stor kritik af myndighederne

Statsrevisorerne har påtalt, at myndighedernes styring ikke har sikret, at outsourcede følsomme og fortrolige personoplysninger opbevares sikkert hos de eksterne databehandlere. Herudover påtaler Statsrevisorerne også, at myndigheder ikke har overholdt reglerne om databeskyttelse, som fx krav om at indgå databehandleraftaler, føre tilsyn med databehandlere og udarbejde risikovurderinger – regler som har været gældende siden år 2000.

I undersøgelsen har Statsrevisorerne fremhævet, at:

  • Myndighederne ikke har haft kendskab til alle underdatabehandlere, der har behandlet følsomme og fortrolige persondata i relation til 24 % af systemerne
  • Myndighederne ikke har udarbejdet en risikovurdering, inden de har indgået en databehandleraftale for 58 % af de it-systemer, der indgår i undersøgelsen, så de fx ikke har haft grundlag for at fastsætte passende sikkerhedsforanstaltninger
  • Myndighederne ikke har indgået databehandleraftaler for 14 % af it-systemerne, selv om de har outsourcet opbevaring af følsomme eller fortrolige personoplysninger
  • Myndighederne ikke har ført tilsyn med databehandlere i relation til 23 % af it-systemerne
  • Myndighederne ikke har undersøgt, om databehandlere overholder vilkårene i databehandleraftalen og databeskyttelsesreglerne
  • Myndigheder kun har udarbejdet en risikovurdering i 6 ud af 17 tilfælde, hvor de benytter globale cloud-udbydere til at opbevare personoplysninger
  • Myndighederne ikke har haft klarhed over indholdet af de standardvilkår, de har accepteret

Herudover hæfter Statsrevisorerne sig ved, at Justitsministeriet ikke har udgivet en bekendtgørelse eller vejledning om lokationskravet, som bestemmer, hvilke it-systemer der skal opbevares i Danmark af hensyn til statens sikkerhed. De bemærker også, at vejledninger fra Justitsministeriet og Finansministeriet først udkom efter, at myndighederne skulle have implementeret databeskyttelsesforordningen (GDPR).

Der er gået 8 år siden det største læk af følsomme og fortrolige personoplysninger, og 5 år siden Statsrevisorerne skarpt kritiserede en række statslige institutioner for ikke at beskytte personoplysninger i tilstrækkeligt omfang.

Statsrevisorerne bemærker, at det er bekymrende, at der stadig af så store problemer med sikring af følsomme og fortrolige personoplysninger, og at myndighederne samlet set har ydet en utilfredsstillende indsats for at sikre, at outsourcede følsomme og fortrolige personoplysninger opbevares sikkert. Konsekvensen af myndighedernes utilfredsstillende håndtering er en øget risiko for, at borgernes følsomme og fortrolige personoplysninger kompromitteres. For at behandlingen af borgernes personoplysninger sikres som forudsat i lovgivningen, er det derfor nødvendigt at styrke styringen af de eksterne databehandlere.