Mens foreløbig to ministre har forladt den svenske regering som følge af et potentielt datalæk, der kan true rigets sikkerhed, frygter Datatilsynet, at lignende læk har fundet sted i Danmark.

Det skriver Information.

Datatilsynet har gentagne gange konstateret, at flere offentlige myndigheders tilsyn med deres private it-underleverandører har været så mangelfuld, at det reelt er uvist, hvem der har haft adgang til hvilke informationer.

Det forklarer kontorchef Jesper Husmer Vang fra Datatilsynet, som har til opgave at føre tilsyn med persondataloven i Danmark.

"I 2016 førte vi bl.a. tilsyn med regionerne og 16 kommuner, og vi fandt – ved de fleste af tilsynene – store problemer med overholdelsen af persondatalovens og sikkerhedsbekendtgørelsens regler om datasikkerhed. Det gælder bland andet kontrollen med private databehandlere, som tilsyneladende er et af de centrale problemer i Sverige," siger Jesper Husmer Vang til Information.

Regeringskrisen i Sverige blev udløst af, at østeuropæiske IBM-ansatte uden sikkerhedsgodkendelse har haft adgang til følsomme dokumenter, og at den svenske Transportstyrelse ikke har ført lovpligtigt tilsyn med it-sikkerheden.

"Vi kan ikke udelukke, at det samme problem kunne gøre sig gældende i Danmark," siger Jesper Husmer Vang.

Han bakkes op af Hanne Marie Motzfeldt, der er lektor i forvaltningsret ved Aarhus Universitet med speciale i persondataret og digitalisering.

"Der er betydelig risiko for, at vi har haft tilsvarende sikkerhedsbrister som det, vi har set i Sverige. Det må man konkludere som følge af Datatilsynets og Rigsrevisionens undersøgelser af it-sikkerheden i det offentlige det seneste år," siger hun.

Sideløbende med Datatilsynets kritik af regioner og kommuner konstaterede Rigsrevisionen i november 2016 alvorlige mangler med it-sikkerheden i fem statslige it-systemer, som drives af private underleverandører.

Det gjaldt både højt følsomme systemer som NemID, der giver adgang til offentlige digitale tjenester og netbank, skatteindberetningssystemerne TastSelv Borger og Erhverv samt mindre kritiske databaser som f.eks. Skibsregistret. Det Centrale Pasregister under Rigspolitiet var det eneste system, der bestod Rigsrevisionens test med skindet på næsen.

"Statsrevisorerne finder det bekymrende, at myndighederne – med undtagelse af Rigspolitiet – ikke i tilstrækkelig grad stiller krav til it-leverandørernes sikkerhedsniveau," skriver Rigsrevisionen i sin rapport.

Rigsrevisionen kritiserer myndighederne for at stille for generelle eller upræcise krav til it-sikkerheden. Myndighederne kritiseres også for ikke at følge op på, hvorvidt den private it-leverandør overholder sikkerhedskravene.

Rigspolitiet var den eneste myndighed i undersøgelsen, der lavede stikprøvekontroller af sin it-leverandør og undersøgte, om leverandøren beskyttede logfilerne mod ændring eller sletning i alle dele af it-infrastrukturen.

I den mere kulørte ende var der hos en leverandør fri adgang til serverrummet hos »et stort antal personer, der ikke havde et specifikt arbejdsbetinget behov«.

"Det viser jo, at offentlige myndigheder systematisk ikke har haft styr på sine databehandlere, altså it-leverandørerne," siger Hanne Marie Motzfeldt.

Datatilsynet og Rigsrevisionens uafhængige undersøgelser peger tilsammen på en bekymrende tendens, mener tidligere PET-chef Hans Jørgen Bonnichsen:

"Man må nok efterhånden konstatere, at den danske offentlige it-sikkerhed er hullet som en schweizerost. Og mange er interesseret i at få adgang."

"Problemet er nok, at offentlige myndigheder er så ivrige med at komme i gang med deres it-projekter, at de ikke afventer den tid, det tager at få styr på it-sikkerheden. Så lader man f.eks. folk gå i gang med arbejdet uden sikkerhedsgodkendelse. Det er et problem, der er blevet fremført af kilder i branchen flere gange, når jeg har holdt foredrag om it-sikkerhed; at man bryder de gældende regler, hvad angår sikkerhedsgodkendelser. Ligesom i Sverige," siger han.

Hans Jørgen Bonnichsen ønsker ikke at nævne konkrete sager, hvor han er blevet gjort bekendt med problematikken.

En af de myndigheder, der sidste år fik kritik af Rigsrevisionen, er Digitaliseringsstyrelsen, der bl.a. har ansvar for NemID. Styrelsen mener ikke, man kan "drage paralleller til det, der er sket i Sverige".

"For vores eget vedkommende kan vi i hvert fald sige, at en lignende fravigelse af reglerne ikke har fundet sted," siger kontorchef Marlene Wiese Svanberg.

Hun henviser til, at Rigsrevisionens kritik af NemID ikke handlede om konkrete sikkerhedsbrister, men om manglende opfølgning på, om leverandørerne levede op til kravene. Det er også vigtigt – og en kritik, som Digitaliseringsstyrelsen har taget til sig, siger kontorchefen. Men det kan ikke sammenlignes med den svenske sag, hvor problemet virker til at være »bevidst tilsidesættelse af gældende regler«, mener hun.

I Danmark har vi tilsvarende regler i bl.a. persondataloven, og det er »en lov, som embedsmænd ikke kan dispensere fra«, siger Marlene Wiese Svanberg til Information.

(Dette er en citathistorie fra Information distribueret af Ritzau)