I PROSA har vi gentagne gange gjort opmærksom på sikkerhedsproblemer i det offentliges og virksomheders omgang med vores data for at sætte fokus på vores datasikkerhed som borgere og på, hvordan vi sikrer, at vores personoplysninger beskyttes.
Men i det sidste døgn er det blevet en rigtig folkesag. Anledningen er bekymring om to bestemte vikarer hos Region Hovedstaden. Og fordi de er medlemmer af Hizb ut-Tahrir, vil bekymringen ingen ende tage. Men er der hold i de mange rynkede øjenbryn set fra et fagsynspunkt? Og hvordan beskytter vi os bedst mod misbrug af vores data?
Hvis vi ser på indholdet af sagen: Så har der, så vidt jeg kan vurdere ud fra det beskrevne og de fremkomne oplysninger, alene være tale om adgang til testdata.
Jeg har selv udviklet sundhedssystemer, og det er helt normalt, at der er et testmiljø, hvor der kun er fiktive data. Ud fra det oplyste ser det ud til, de to har haft adgang til sådanne fiktive data, så de kunne sætte maskinerne op og sikre, at forbindelse til systemerne. Der er altså ikke oplyst noget, der tyder på, at de to vikarer har haft adgang til virkelige sundhedsdata om patienter ved Region Hovedstadens sygehuse. Bare lige for at få de faglige proportioner med, inden mediecirkusset går helt i selvsving.
Flere sikkerhedsgodkendelser går ud over sikkerheden
Når vi piller debatten om, hvorvidt de havde adgang til fortrolige personoplysninger og kun havde adgang til test-data, så står kravet om flere sikkerhedsgodkendelser til it-professionelle tilbage.
Hvis der reelt havde været tale om, at der var flere og mere problematiske adgange, så skal det løses ved, at man kræver en sikkerhedsgodkendelse af de personer, som har adgangene – ikke ved at Region Hovedstad selv vurderer og fører justits med, hvem der har forhøjet risiko for at misbruge data. Vi må holde fast i, at det ikke er ansættelsesmyndigheden, som afprøver folks sikkerhedsstatus, hvis det er nødvendigt.
Når vi så står her, midt i cirkusset, så håber jeg ikke, at den oppiskede stemning betyder, at der går endnu mere inflation i sikkerhedsgodkendelser til it-folk, end der allerede er. Det vil nemlig reelt føre til mindre sikkerhed for os alle sammen.
I dag tager det omkring seks måneder at blive sikkerhedsgodkendt på grund af det store antal, der ansøges om. Det betyder at it-professionelle ofte bliver sat til at arbejde med personfølsomme data, imens man venter på en godkendelse.
Et øget pres på flere og mere vidtgående sikkerhedsgodkendelser vil uundgåeligt forlænge den proces.
Urimelige arbejdsgiverkrav skaber usikkerhed
Årsagen til de mange flere ansøgninger om sikkerhedsgodkendelserne er desværre ikke, at offentlige og private arbejdsgivere knuselsker datasikkerhed, men snarere at de insisterer på at have en maksimalt fleksibel arbejdsstyrke, hvor de kan flytte deres ansatte frit, og alle kan arbejde med alle områder. Derfor skal alle ansatte ofte sikkerhedsgodkendes. I den proces sætter de faktisk vores sikkerhed i fare samtidig med, at de afholder folk fra job, de ellers sagtens kunne varetage.
I tvivl? Spørg en it-professionel!
Så hold igen med sikkerhedsgodkendelserne og lad de, der skal til, bero på en saglig og faglig vurdering. Det er vores myndigheder, vores it-faglighed og vores sunde fornuft, som skal sikre vores patient- og personoplysninger mod læk og misbrug. Ikke en mediedreven panik.
Hvis der er et oprigtigt ønske om at beskytte vores personfølsomme data, er PROSA som altid til rådighed for sparring. Så undgår vi ”hovsa-løsninger”, der reelt vil have den modsatte effekt.
