Det er ikke kun kritisabelt, at Region Midtjylland stadig bruger det 16 år gamle og sårbare styresystem Windows XP på 5.000 maskiner. Det kan også være i strid med persondataloven. Det vurderer flere eksperter, heriblandt professor i persondataret, Peter Blume:
»Regionen har som dataansvarlig pligt til at have den tilstrækkelige sikkerhed, og når det nu er almindelig kendt, at så gamle udgaver af Windows ikke er særligt sikre, og der for patienternes vedkommende er tale om personfølsomme oplysninger, så ser det ikke godt ud.«
Han bakkes op af Hanne Marie Motzfeldt, der er lektor i forvaltningsret og de juridiske aspekter af digitalisering.
»Det er ret enkelt. Man skal have den tilstrækkelige nutidige sikkerhed og følge med den tekniske udvikling. Det er det ansvar, man har, når man bliver betroet borgernes data.«
Onsdag kunne Information afdække, at flere regioner stadig anvender Windows XP, som i weekenden blev ramt af det verdensomspændende cyberangreb ved navn Wannacry. I Region Midtjylland har man cirka 5.000 maskiner med det sårbare system, der befinder sig på hospitalerne og indgår i den daglige drift, mens de samtidig er på nettet.
»Windows XP er farligt at bruge. Det er simpelthen forældet software fyldt med sikkerhedshuller,« udtalte it-ekspert Henrik Kramshøj, der blandt andet arbejder med at sikre det norske sundhedsvæsen. It-ekspert Peter kruse kaldte sikkerhedssituationen for »russisk roulette«, fordi det gør hospitalerne sårbare overfor cyberangreb.
Antal computere med XP i regionerne
- Nordjylland: 100
- Midtjylland: 5.000
- Syddanmark: under 100
- Sjælland: 113
- Hovedstaden: 630
Kilde: Informations rundspørge til regionerne
Systemerne skal følge med tiden
Peter Blume peger på paragraf 41 i persondataloven, som pålægger den dataansvarlige at have den fornødne sikkerhed.
Paragraf 41 stk. 3 lyder: »Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.«
»Man skal selvfølgelig passe på med at sige, at de overtræder persondataloven, men det kunne godt se sådan ud,« siger Peter Blume.
Det samme vurderer Hanne Marie Motzfeldt. Hun understreger, at det skærper kravene endnu mere, når der kan være tale om borgernes følsomme oplysninger, fordi de pågældende computere bruges på hospitalerne i den daglige drift.
»Sikkerhedskravene i persondataloven rykker sig hele tiden med den tekniske udvikling, og her er der klare krav til, at man som ansvarlig for borgernes data skal holde sig til det tekniske niveau, der svarer til 2017. Det vil sige, at man skal eliminere kendte risici, hvis det er muligt, med mindre de er helt uproportionale i forhold til omkostningerne.«
Til spørgsmålet om hvorvidt regionernes brug af XP-styresystemer lever op til nutidige sikkerhedsstandarder, henviser Motzfeldt til professor i datalogi, Peter Schneider-Kamp.
Han siger til Information: »Windows XP har jo været uden sikkerhedsopdateringer i tre år, så det er ikke forsvarligt at bruge det. Regionerne peger selv på, at de har applikationskontrol til at gøre det sikkert, og det er selvfølgelig fornuftigt. Men det er meget omstridt, om det er en holdbar løsning. Måske vil det forhindre nogle af de åbenlyse angreb, hvor medarbejderne bare klikker på en mail med en virus, men en professionel hacker har mange flere værktøjer. Så nej, jeg vil ikke sige, at det her niveau svarer til, hvad der skal til i 2017 for at beskytte data.«
Han bruger som eksempel en offentliggørelse fra DefenseCode i mandags om et nyt angreb, hvor man som bruger kun skal klikke på et link, og hvor angrebet ikke forhindres af hverken antivirus eller appilationskontrol.
I Danmark er det Datatilsynet, der skal gå videre med sagen, hvis de finder det problematisk. Ellers skal en borger i regionen selv klage til Datatilsynet.
Peter Blume og Hanne Marie Motzfeldt forklarer, at Datatilsynet ikke har nogle reelle sanktionsmuligheder udover at udtale kritik, men at de kan indberette en sag til regionsformanden og ministeren. Derudover kan man som borger gå til domstolene, hvis man har lidt skade.
– Ville du klage, hvis du for eksempel boede i Region Midtjylland?
»Ja, det tror jeg ville være fornuftigt nok. Datatilsynet er jo sat i verden for at sørge for, at persondataloven bliver overholdt – også af offentlige myndigheder. Så hvis jeg var nervøs for mine oplysninger, ville det være naturligt at henvende sig til Datatilsynet,« siger Peter Blume.
Region Midtjylland svarer på kritikken i en mail: »Vi vurderer, at it-sikkerniveauet er tilstrækkeligt og hermed ikke i strid med paragraf 41. Regionen har en samlet sikkerhedsløsning inkluderende antivirus, applikationskontrol, Sideadvisor og et veludviklet 24/7/365-overvågnings- og vagtberedskab til imødegå hændelser og trusler. Endvidere et samarbejde samt rådgivning fra et antal meget kvalificerede leverandører på It-sikkerhedsområdet«.
I 2018 træder en ny persondataforordning i kraft, som overlader det til Danmark at afgøre, hvorvidt offentlige myndigheder skal kunne gives bøder for at sløse med it-sikkerheden over borgernes private data.
Information har kontaktet Datatilsynet for en kommentar, men har ikke fået noget svar.
Der kan være tale om? Det var meget diplomatisk formuleret.