Vil bli lovlydig

Datatilsynet følger ikke opp

TROMSØ: Fylkeskommunene bryter hver dag personregisterloven ved å kjøre sensitive opplysninger over felles nett. Nå vil de rydde opp. Men Datatilsynet prioriterer ikke saken.

Heidi Egede-Nissen

Selv ikke da 12 av 19 fylkeskommuner var samlet under et strategimøte i Tromsø sist uke, møtte Datatilsynet opp. Georg Apenes var i god tid invitert til møtet, men tilsynet sendte en faks med melding om at de dessverre ikke hadde anledning til å delta.

Representanter fra fylkeskommunene var tydelig skuffet over Datatilsynets manglende engasjement.

-- Vi har fått beskjed om at Datatilsynet har brukt så mye ressurser på oss allerede. De kunne ikke prioritere oss nå, sier Narvin Tangen, leder for administrasjonsavdelingen i Oppland fylkeskommune.

Vil rydde opp

Fylkeskommunenes problem er at de alle kjører sensitive personopplysninger i såkalt delte EDB-systemer. Dette er det ingen som har fått dispensasjon til.

-- Alle kjører delte EDB-systemer uten å ha lov. Noen fylkeskommuner har forsøkt å søke om dispensasjon fra regelverket, men de har fått søknaden i retur, sier Petter Engh, konsulent i SAS Data. Han er innleid av Telenor Dolphin, som på oppdrag fra elleve fylkeskommuner har kartlagt deres IT-behov.

Kartleggingen resulterte i en rapport, der det konkluderes med at fylkeskommunene har stort behov for å kjøre sensitive personopplysninger på felles nett. Hovedregelen om dedikerte systemer lar seg blant annet ikke gjennomføre på sykehusene, heter det i rapporten.

Fylkeskommunene ønsker å lage en felles slagplan for hvordan de skal forholde seg til Datatilsynets regler. Resultatet blir sannsynligvis at en fylkeskommune går i bresjen for de andre.

Mye tyder på at piloten blir Buskerud. I samarbeid med eksterne konsulenter skal denne fylkeskommunen sende en konkret søknad til Datatilsynet. Alle fylkeskommunene skal spleise på kostnadene.

Foreldet regelverk

Ledelsen i Buskerud fylkeskommune er positiv til å være pilot-søker, men går til oppgaven med blandede følelser.

-- Vi syns kravene som Datatilsynet stiller er for detaljert. Det er vanskelig å opprettholde den beskyttelsen som kreves over lenger tid fordi den teknologiske utviklingen skjer så raskt. Men vi er nødt til å tilfredsstille Datatilsynets regler uansett, sier Svein Bernhardsen, EDB-leder ved Buskerud sentralsykehus.

Mange i offentlig forvaltning mener Datatilsynets regler er foreldet, men få har ressurser og mot til å protestere. Fylkeskommunene har resignert, og forsøker nå etter beste evne å tilfredsstille kravene.

Men selv om Datatilsynets sikkerhetskrav ikke er i takt med tida, setter fylkeskommunene informasjonssikkerhet høyt på prioriteringslista. Prosessen gjør at alle må gå igjennom egne sikkerhetsrutiner. Det er positivt, mener fylkeskommunene.

I BRESJEN: EDB-leder Stein Bernhardsen ved Buskerud sentralsykehus (t.v.) og administrasjonssjef Tor Rolandsen ved Kongsberg sykehus jobber for den foreslåtte pilot-søkeren. (Foto: H. Egede-Nissen)

Hvem tar jobben?

Da slagplanen skulle legges oppsto det forvirring om hvilke konsulenter som egentlig kan hjelpe fylkeskommunene.

Telenor Dolphin, som til nå har hatt oppdraget, skal ikke lenger jobbe med datasikkerhet, ble det sagt.

-- Vi har endret strategi. Vi skal nå jobbe med datasøttet telefoni, sa Knut Noremsaune i Telenor Dolphin.

Også konsulentene Petter Engh og Svend Aubert sa at de ikke jobbet med datasikkerhet i fylkeskommuner lenger. Men de lovet å komme med et tilbud om å videreføre prosjektet likevel.

-- Dette begynner å bli ganske morsomt. Er det ingen som vil ha denne jobben, undret Narvin Tangen fra Oppland.

Noen i Telenor må da kunne følge opp denne saken, mente en annen. Han hadde hørt visse rykter om at det jobbet en del mennesker der...