Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 43<br />
c. Eksempler på konsekvenser af manglende it-styring<br />
Utilstrækkelige beredskabsplaner<br />
114. Undersøgelsen viste, at kun én af virksomhederne havde udarbejdet en tilfredsstillende<br />
beredskabsplan. Virksomhederne er ansvarlige for et betydeligt antal statslige it-systemer,<br />
som er fundamentet for de undersøgte ministeriers opgavevaretagelse, men virksomhederne<br />
havde generelt ikke opdateret beredskabsplanerne. Virksomhederne havde derfor ikke<br />
etableret et effektivt beredskab i tilfælde af en eventuel alvorlig nødsituation.<br />
Samtidig viste undersøgelsen, at virksomhederne i mange tilfælde ikke havde en tilfredsstillende<br />
styring af backup. Virksomhederne har derfor heller ikke i tilstrækkeligt omfang kendskab<br />
til, om systemer og data kan genskabes på grundlag af en backup, hvis uheldet indtræder,<br />
og beredskabet skal aktiveres.<br />
Persondata<br />
115. Undersøgelsen viste, at virksomhederne ikke havde kendskab til, om persondata fortsat<br />
var beskyttet tilstrækkeligt. Virksomhederne har pligt til at sikre, at persondata beskyttes<br />
tilstrækkeligt, selv om data behandles og opbevares i Statens It. Det fremgik af kundeaftalen,<br />
at Statens It handlede på instruks fra kunden, og at Statens It på den baggrund skulle<br />
etablere den fornødne organisatoriske og tekniske sikkerhed i og omkring persondata.<br />
Det fremgår af bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger,<br />
som behandles for den offentlige forvaltning (bekendtgørelse nr. 528 af 15. juni<br />
2000), at den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske<br />
foranstaltninger til beskyttelse af persondata.<br />
Myndigheden skal desuden fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger<br />
til uddybning af bekendtgørelsens regler. Bestemmelserne skal omfatte organisatoriske<br />
forhold og fysisk sikring, <strong>her</strong>under sikkerhedsorganisation, administration af adgangskontrolordninger<br />
og autorisationsordninger samt kontrol med autorisationer.<br />
De interne bestemmelser skal gennemgås mindst én gang hvert år for at sikre, at de er fyldestgørende<br />
og afspejler de faktiske forhold i myndigheden.<br />
116. Revisionen viste, at virksomhederne havde udfyldt et regneark til Statens It, hvoraf det<br />
blandt andre oplysninger fremgik, hvilke systemer der indeholdt persondata. Ingen af virksomhederne<br />
havde imidlertid anmodet om at modtage en løbende rapportering fra Statens<br />
It, som viste, at beskyttelsen af persondata var tilstrækkelig.<br />
Statens It opfattede ikke regnearket som en instruks og havde derfor ikke truffet særlige foranstaltninger<br />
omkring persondata for nogen af kunderne ud over sikringsforanstaltninger,<br />
der var etableret inden overdragelsen til Statens It.<br />
Forhold omkring adgangsstyring, kontrol med autorisationer, logning, kryptering, transmission,<br />
destruktion af uddata mv. påvirkes, når data behandles hos en serviceleverandør. <strong>Rigsrevisionen</strong><br />
finder derfor, at virksomhedernes instruks til Statens It burde være mere fyldestgørende<br />
end det fremsendte regneark. <strong>Rigsrevisionen</strong> finder til gengæld også, at Statens It<br />
kunne have reageret på det grundlag for at finde ud af, om der var behov for særlige sikringsforanstaltninger<br />
på baggrund af de væsentlige organisatoriske ændringer.<br />
117. Datatilsynet har på grundlag af det fremsendte høringsudkast – og med forbehold for<br />
ikke at være bekendt med de undersøgte virksomheders høringssvar – vurderet, at <strong>Rigsrevisionen</strong>s<br />
undersøgelse afdækker et behov for, at de virksomheder, der benytter Statens It<br />
som databehandler, i højere grad sikrer sig, at persondatalovens krav om sikkerhedsforanstaltninger<br />
overholdes hos databehandleren. Datatilsynet er derfor enig med <strong>Rigsrevisionen</strong><br />
i, at virksomhederne i tæt dialog med Statens It bør udarbejde retningslinjer og procedurer,<br />
der medvirker til at sikre en tilfredsstillende it-sikkerhed i og omkring de anvendte systemer<br />
og data. Datatilsynet finder, at dette bør ske snarest.