17.07.2013 Views

Hent beretningen her (pdf) - Rigsrevisionen

Hent beretningen her (pdf) - Rigsrevisionen

Hent beretningen her (pdf) - Rigsrevisionen

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 43<br />

c. Eksempler på konsekvenser af manglende it-styring<br />

Utilstrækkelige beredskabsplaner<br />

114. Undersøgelsen viste, at kun én af virksomhederne havde udarbejdet en tilfredsstillende<br />

beredskabsplan. Virksomhederne er ansvarlige for et betydeligt antal statslige it-systemer,<br />

som er fundamentet for de undersøgte ministeriers opgavevaretagelse, men virksomhederne<br />

havde generelt ikke opdateret beredskabsplanerne. Virksomhederne havde derfor ikke<br />

etableret et effektivt beredskab i tilfælde af en eventuel alvorlig nødsituation.<br />

Samtidig viste undersøgelsen, at virksomhederne i mange tilfælde ikke havde en tilfredsstillende<br />

styring af backup. Virksomhederne har derfor heller ikke i tilstrækkeligt omfang kendskab<br />

til, om systemer og data kan genskabes på grundlag af en backup, hvis uheldet indtræder,<br />

og beredskabet skal aktiveres.<br />

Persondata<br />

115. Undersøgelsen viste, at virksomhederne ikke havde kendskab til, om persondata fortsat<br />

var beskyttet tilstrækkeligt. Virksomhederne har pligt til at sikre, at persondata beskyttes<br />

tilstrækkeligt, selv om data behandles og opbevares i Statens It. Det fremgik af kundeaftalen,<br />

at Statens It handlede på instruks fra kunden, og at Statens It på den baggrund skulle<br />

etablere den fornødne organisatoriske og tekniske sikkerhed i og omkring persondata.<br />

Det fremgår af bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger,<br />

som behandles for den offentlige forvaltning (bekendtgørelse nr. 528 af 15. juni<br />

2000), at den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske<br />

foranstaltninger til beskyttelse af persondata.<br />

Myndigheden skal desuden fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger<br />

til uddybning af bekendtgørelsens regler. Bestemmelserne skal omfatte organisatoriske<br />

forhold og fysisk sikring, <strong>her</strong>under sikkerhedsorganisation, administration af adgangskontrolordninger<br />

og autorisationsordninger samt kontrol med autorisationer.<br />

De interne bestemmelser skal gennemgås mindst én gang hvert år for at sikre, at de er fyldestgørende<br />

og afspejler de faktiske forhold i myndigheden.<br />

116. Revisionen viste, at virksomhederne havde udfyldt et regneark til Statens It, hvoraf det<br />

blandt andre oplysninger fremgik, hvilke systemer der indeholdt persondata. Ingen af virksomhederne<br />

havde imidlertid anmodet om at modtage en løbende rapportering fra Statens<br />

It, som viste, at beskyttelsen af persondata var tilstrækkelig.<br />

Statens It opfattede ikke regnearket som en instruks og havde derfor ikke truffet særlige foranstaltninger<br />

omkring persondata for nogen af kunderne ud over sikringsforanstaltninger,<br />

der var etableret inden overdragelsen til Statens It.<br />

Forhold omkring adgangsstyring, kontrol med autorisationer, logning, kryptering, transmission,<br />

destruktion af uddata mv. påvirkes, når data behandles hos en serviceleverandør. <strong>Rigsrevisionen</strong><br />

finder derfor, at virksomhedernes instruks til Statens It burde være mere fyldestgørende<br />

end det fremsendte regneark. <strong>Rigsrevisionen</strong> finder til gengæld også, at Statens It<br />

kunne have reageret på det grundlag for at finde ud af, om der var behov for særlige sikringsforanstaltninger<br />

på baggrund af de væsentlige organisatoriske ændringer.<br />

117. Datatilsynet har på grundlag af det fremsendte høringsudkast – og med forbehold for<br />

ikke at være bekendt med de undersøgte virksomheders høringssvar – vurderet, at <strong>Rigsrevisionen</strong>s<br />

undersøgelse afdækker et behov for, at de virksomheder, der benytter Statens It<br />

som databehandler, i højere grad sikrer sig, at persondatalovens krav om sikkerhedsforanstaltninger<br />

overholdes hos databehandleren. Datatilsynet er derfor enig med <strong>Rigsrevisionen</strong><br />

i, at virksomhederne i tæt dialog med Statens It bør udarbejde retningslinjer og procedurer,<br />

der medvirker til at sikre en tilfredsstillende it-sikkerhed i og omkring de anvendte systemer<br />

og data. Datatilsynet finder, at dette bør ske snarest.

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!