Statens It: Gammel software udfordrer GDPR-compliance i det offentlige

Statens It
Illustration: Statens It. Se større version
Gammel it i det offentlige spænder ben for GDPR-compliance, og derfor må man forsøge at lappe og opdatere så godt man kan, fortæller Statens It. Hvis ikke, det rækker, må man lave politikker hos den dataansvarlige myndighed.
1. juni 2021 kl. 05:00
errorÆldre end 30 dage

Det offentlige har en teknologisk gæld med for mange forældede it-systemer, som skaber problemer med compliance. Det mærker Helle Uldbæk Sørensen, der arbejder som DPO i Statens It, hvor det ofte er en udfordring at få myndigheders gamle software til at harmonere med GDPR.

»Det er ikke nogen hemmelighed, at it-landskabet er relativt forældet nogle steder. Det kræver investeringer at vedligeholde og videreudvikle på gamle it-systemer, og den opgave mærker vi også, når man taler om databeskyttelse og de krav, der i dag bliver stillet til dem,« siger hun.

»Nogle it-systemer har mange år på bagen og kan de facto ikke leve 100 procent op til de krav, der bliver stillet i dag. Du kan lappe nogle huller, og du kan også gøre meget med organisatoriske foranstaltninger, men der er selvfølgelig et efterslæb, når det handler om det rent tekniske.«

Myndigheden har siden 2016 haft ansvaret for it’en i alle statslige institutioner på nær Skat, Rigspolitiet og Forsvaret. 

Man udnævnte allerede Helle Uldbæk Sørensen til DPO i 2017, mere end et halvt år før, forordningen trådte i kraft, fordi det var tydeligt, at myndigheden stod overfor en stor udfordring:

»Det var en opgave, der lige skulle løbes i gang,« siger hun.

Det var især svært at få vendt folks fokus mod databeskyttelse, for det har været en undervurderet disciplin i mange år, selvom flere af reglerne har været gældende siden 2000, uddyber hun. 

Få fuld adgang til ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder. Få tilsendt tilbud

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
Debatten
Log ind for at deltage i den videnskabelige debat.
settingsDebatindstillinger
#1
Dennis Benneballe Arnold-Grade
1. juni 2021 kl. 09:57

Ny it er udviklet efter privacy-by-design-princip

Jeg vil blot påpege, at privacy by design ikke er det samme som Artikel 25, stk. 1 “Data Protection by Design”. De har visse ting til fælles, men er langt fra det samme. Dette bør rettes af redaktionen.

Desuden vil jeg påpege, at Databeskyttelse gennem Design faktisk ikke kun omhandler IT, men alt behandling af data. Så fra udvælgelse af, hvilke systemer, komponenter, services, værktøjer, tredjepartssystemer og -tjenester, etc. man bruger, samt hvilke foranstaltninger man laver sig i disse behandlinger. Herunder mere end bare IT: Databeskyttelse gennem Design tankegangen skal anvendes på HELE organisationen, fra foranstaltninger i kontrakter med Rengøringspersonalet om ikke at åbne gardiner, til foranstaltninger om at fjerne papir med informationer fra åben tilgængelige steder, osv. Ikke kun IT-systemer kan og bør designes efter disse principper om databeskyttelse, men også procedurer, politikker, kontrakter, adfærd, osv osv osv.