Den 12. november 2014 behandlede Statsrevisorerne
Beretning nr. 1/2014 om statens behandling af fortrolige oplysninger om personer og virksomheder
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Digitalisering er en vigtig måde at forny og effektivisere den offentlige sektor på. Den øgede digitalisering af kommunikationen mellem borgere, private virksomheder og offentlige myndigheder forudsætter, at store mængder af data af fortrolig karakter beskyttes, så oplysningerne ikke falder i de forkerte hænder. Data beskyttes ved at kontrollere brugeradgange, registrere medarbejderes opslag, tjekke om interne retningslinjer og aftaler med eksterne databehandlere overholdes mv.
Rigsrevisionen har undersøgt, hvordan fortrolige oplysninger om personer og virksomheder behandles i 11 udvalgte it-systemer i 8 statslige institutioner: Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettigheder, Rigspolitiet, SKAT, Socialstyrelsen og Sundhedsstyrelsen, hvoraf flere er vant til at håndtere store mængder fortrolige oplysninger.
Undersøgelsen viser, at ingen af de undersøgte institutioner efterlever alle de krav til behandling af fortrolige personoplysninger, som er fastsat i sikkerhedsbekendtgørelsen, der er udstedt i medfør af persondataloven.
Det bemærkes, at den manglende efterlevelse af sikkerhedsbekendtgørelsens krav kan gøre sig gældende for en større kreds af statslige institutioner.
Undersøgelsen viser endvidere, at sikkerheden ved behandling af fortrolige data fra private virksomheder bør styrkes – også selv om der ikke er fastsat særlig lovgivning for beskyttelse af fortrolige virksomhedsoplysninger.
Statsrevisorerne kritiserer skarpt, at en række statslige institutioner ikke i tilstrækkeligt omfang beskytter fortrolige oplysninger om personer og virksomheder. Det medfører risiko for, at personer kan få krænket deres privatliv, og at virksomheder kan miste konkurrencefordele, fordi personer, private virksomheder og offentlige myndigheder kan få adgang til fortrolige oplysninger, som de ikke er berettigede til.
Statsrevisorerne finder det særdeles relevant, at flere af institutionerne meget hurtigt har iværksat tiltag, der skal imødegå kritikpunkterne i undersøgelsen.
Statsrevisorerne bemærker særligt, at Rigsrevisionen allerede i 2011 gjorde Danmarks Statistik opmærksom på manglende opfyldelse af sikkerhedsbekendtgørelsens krav. Statsrevisorerne finder det utilfredsstillende, at Danmarks Statistik endnu ikke opfylder kravene.
Datatilsynet har bl.a. til opgave at føre tilsyn med, at statslige institutioner håndterer fortrolige personoplysninger i overensstemmelse med persondataloven og tilhørende regler. Statsrevisorerne har noteret sig, at Datatilsynet ikke har ført tilsyn med de 8 undersøgte it-systemer i de seneste 3 år.
Statsrevisorerne er opmærksomme på, at uklar ansvarsplacering mellem flere myndigheder kan svække tilsyn og datasikkerhed."