Hammeren falder desværre ikke, når de, der har ansvar for persondata i Danmark, sjusker. Ikke, så det virkelige kan mærkes. Ikke endnu.
Tænk bare på Se & Hør-sagen, hvor mindst 135 kendte personer fik lækket deres kreditkortdata.
Bankerne, der er de dataansvarlige, da de udsteder kreditkortene og får gevinsten, kom helt uberørt igennem.
Skrammerne påtog Nets sig, bankernes "databehandler", men der faldt hverken bøde til Nets eller "under-databehandleren", IBM. Kun de sladderansvarlige på mediesiden er dømt.
CSC-hacket, hvor der blandt andet røg politidata? Var der konsekvenser for den dataansvarlige, for Rigspolitiet? Nej, datalækage i det offentlige straffes ikke.
Men Rigspolitiets databehandler, CSC, vovede at kræve fem millioner kroner i erstatning fra de to tiltalte.
Og så var der lige den ukrypterede cd, der endte i kinesiske hænder med 5,3 millioner danskeres cpr-data? Det forblev ved medieoverskrifter.
Det kan du læse mere om her: Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl
Gelinde lille Danmark
Den højeste bøde, der nogensinde er faldet i Danmark for uforsvarlig omgang med persondata, er på 25.000 kroner. Udover det ses blot nogle guirlander med tildelte næser.
De små konsekvenser i Danmark har fortalt hele verden, at man slipper gelinde igennem sløsethed i dette lille land.
De globale koncerners største investeringer i it-sikkerhed er sikkert fortrinsvis kanaliseret hen til de lande, hvor hammeren falder hårdt - for eksempel i USA, hvor der er faldet bøder på hundredevis af millioner af dollar, men også i Tyskland fældes alvorlige domme.
Nye toner fra maj 2018
Fra maj 2018 begynder hammeren dog også at falde hårdt i Danmark, for det er tidspunktet, hvor EU's nye persondataforordning træder i kraft.
En forordning er konkrete regler, der forpligter Danmark retsmæssigt og direkte, i modsætning til det tudsegamle EU-direktiv fra 1995, hvis mål lå til grund for dansk lovgivning på området, men aldrig var et diktat.
Læs også: Bliv klar til EU's nye persondataforordning: Disse konkrete ting bør du sætte i gang allerede nu
Kendt er for længst EU-forordningens tekst om bøder på op til 150 millioner kroner, eller fire procent af koncernomsætningen, hvis det tal er højere. Beløbene skræmmer erhvervslivet.
Men om bøderne også bør skræmme den offentlige sektor, der i et tvangsdigitaliseret Danmark ligger inde med enorme mængder data, vides endnu ikke. EU har ikke turdet gøre bødestraf for den offentlige sektor obligatorisk.
Den beslutning overlades til de nationale parlamenter, ligesom en del andet i forordningsudkastet, der blev angrebet af forskellige EU-lande og endnu mere af lobbyister, der råbte op om truende konsekvenser af at beskytte borgernes privatliv bedre.
Lobbyisternes mandsopdækning
En garvet EU-politiker fortalte mig, at persondataforordningen havde udløst de mest massive lobbyistbelejringer, den pågældende havde oplevet. Måske ikke så underligt.
Jeg har hørt en juraprofessor kalde persondata for nutidens olie, fordi der kan tjenes styrtende på at sælge personrelaterede data og på at bruge dem i eget regi for at øge omsætningen.
Et flertal i Folketinget går foreløbig ind for bøder for datasjusk også til det offentlige, jævnfør udtalelser for få måneder siden.
Men lad os afvente realitetsforhandlingerne i tiden frem til lovforslagene fremlægges i oktober 2017.
En bøde til politiet på 50 millioner kroner for lækkede data?
Jamen, hvor mange politifolk skal fyres, for at få råd til den bøde, der bare går til en anden offentlig kasse?
En bøde til kommunen på 30 millioner kroner? Jamen, hvordan kan det dog være forsvarligt over for borgerne, at kommunen skal betale 30 millioner kroner til statskassen, når skolen nede på Lindevej skal lukkes for at nå budgettet?
Jeg tror ikke, der indføres bøder for datasjusk i det offentlige, men hælder til, at det burde der.
Hvis ikke datalækager og anden forsømmelighed rammer pengepungen, får man aldrig taget datasikkerhed alvorligt nok på højeste niveau i det offentlige.
Vi har ventet alt for længe, og intet er sket. Har der for eksempel nogensinde rullet et hoved?
Større gennemsigtighed på vej
Måske vil det gøre en forskel, at det bliver sværere for alle, om offentlige eller private, at feje problemerne ind under gulvtæppet.
Nok har pressen i forvejen større mulighed for at høre om datalækage i det offentlige end i det private erhvervsliv, men meldepligt og informationspligt kan sikre større gennemskuelighed.
Et brud på sikkerheden skal meldes inden for 72 timer til Datatilsynet.
Den dataansvarlige skal oplyse, hvad der er sket, hvorfor det kunne ske, hvor meget det har ramt, og hvad man gør for at få stoppet problemet og begrænset konsekvenser.
Ligger der risici for de berørte personer, dem hvis persondata blev blottet, foreligger der i modsætning til i dag en informationspligt.
Kan personen for eksempel rammes af ID-tyveri eller økonomisk tab, skal personen informeres grundigt i klart sprog. Det gør det sværere for den dataansvarlige at hemmeligholde det pinlige faktum.
Artiklen fortsætter under billedet...
Det spage Datatilsyn
EU-forordningen gør, at Datatilsynet får en større rolle, også i relation til den samlede EU-indsats, men det danske Datatilsyn må virkelig oppe sig.
Hidtil har offentligheden stort set kun hørt fra tilsynet, når årsberetningen med årets påtaler udsendes, for så vågner pressen en dag eller to.
Vi har ikke hørt direktøren tale dunder, så borgerne forstår, at der altså er en vagthund, så pressen vågner lidt flere dage, og så de sløsede sættes på plads på så utvetydig en måde, at alle skyldige ved, at det vil blive husket.
Datatilsynet omgærdes ikke af den store respekt, men betingelserne for dets virke er bestemt heller ikke de bedste.
Politikerne har i en lang årrække udsultet tilsynet - it tages jo ikke særligt alvorligt på Christiansborg, andet end som middel til besparelser og kontrol.
Dog råbte netop Christiansborg-politikere op om behovet for flere penge til Datatilsynet i 2014, nemlig da nogle af dem selv spillede en hovedrolle i Se & Hør-skandalen og mærkede, hvor ydmygende det er, at få krænket sit privatliv.
Det forblev dog ved øjeblikkets ophidselse. Så vidt jeg ved (og brug venligst kommentarfeltet, hvis jeg tager fejl) er Datatilsynet endnu ikke blevet behørigt styrket.
At Datatilsynet nu har fået udsigt til flere penge i 2017 og 2018 som følge af den kommende EU-forordning, der øger tilsynets rolle, er en anden sag, og spørgsmålet er, hvad pengene bruges til.
Datatilsynet fatter for lidt om it
På vandrørene hører jeg fra juristside en meget kraftig opfordring til, at tilsynet får oprustet sig med ekspertviden inden for it.
Der er - som Djøf-bladet også skrev for nylig - alvorlige begrænsninger i, hvor meget jurister fatter i relation til teknologi.
Datatilsynet har 21 fuldtidsansatte jurister, ofte på "gennemrejse" til og fra Justitsministeriet, samt tre it-kyndige (se listen her).
I Datarådet, der konsulteres nogle få gange om året, når der er principielle ting på spil, sidder tre jurister, DI's konsulent, hvad angår it-sikkerhed, en læge, forbrugerrådets direktør og en kommunaldirektør (se listen her).
Datatilsynet kan ikke være andet end bagefter - reaktivt - med sådanne prioriteringer, også i sin informationsindsats.
Og det er ikke smart, når det gælder teknologi og persondata, hvis brug bevæger sig lynhurtigt i det landskab, som tilsynet skal overvåge.
Ministeriet med de røde øren
Men juristkontoret, som Datatilsynet er, ligger da også under den største juristklump af alle ministerier, Justitsministeriet.
Det, der er kendt for så gerne at ville overvåge borgerne, at det tilmed forbrød sig mod EU-regler om borgeres ret til privatliv.
Det, der fik røde øren, da politiets registre blev hacket, og tilmed uden det blev opdaget herhjemme. Det, der stadig må have røde øren over, hvor elendig it-støtte, som politiet har i marken og på stationerne.
Det kan du læse mere om her: Politiet røvrendes med dybt forældet it, og millionerne fosser ud ad kassen.
Mon ikke det var klogt at få flyttet Datatilsynet væk, når EU-forordningen træder i kraft?
Officielt er det "uafhængigt", men en reference til for eksempel Folketinget kunne nok være mere fornuftig, eller hvor varetages egentlig borgernes interesser, altså ikke systemets, som det primære?
Et kompetent, slagkraftigt Datatilsyn kunne udgøre en mere effektiv afstrafning end bøder for datasjusk i den offentlige sektor, hvis man valgte at lade sig inspirere af USA.
En jurist fortalte mig, at eksempelvis Target, en kæde af stormagasiner, der blev lænset for kreditkortdata for 40 millioner kunder, blev sat under observation af den offentlige myndighed, Federal Trade Commission, der står for forbrugerbeskyttelsen.
Target skal årligt gennem 10 år aflevere en slags revisionsrapport vedrørende datasikkerheden til FTC.
De frygtede gruppesøgsmål
Det er imidlertid ikke sikkert, at bøderne udgør den største stygge ulv i EU-forordningspakken.
Jeg hører, at den største skræk bunder i en rettighed for de ramte - en rettighed, der er helt klart defineret i forordningens tekst.
Det er retten til at anlægge gruppesøgsmål, hvis data er misbrugt, og den bevisbyrde vil typisk være let at løfte.
Også foreninger - NGO'er - kan anlægge sag på deres berørte medlemmers vegne, om det gælder godtgørelse for æreskrænkelser, som i Se & Hør-sagen, for risiko for ID-tyveri eller for, hvad andet, der end kan udtænkes.
Lad os sige, at 50.000 kunder får anledning til at kræve godtgørelse efter et datalæk.
Det begynder måske med brok fra en ramt på en enkelt Facebook-profil, der får lidt flere ramte frem, så en henvendelse til en advokat, der indrykker en annonce, og efterhånden dukker alle berørte frem.
Advokaten mener, at hver af dem skal have 5.000 kroner. Vupti. I alt 250 millioner kroner ved kasse 1.
Lad os gå skridtet helt ud i det syrede retning og lade som om, at Dansk Folkeparti har fået de øvrige partier med på, at der skal oprettes både et DNA-register og et fingeraftryksregister over alle i Danmark. Alle.
Forestil jer et kæmpehack foretaget af organiserede kriminelle eller måske en stat, og efterfølgende ses visse af disse data misbrugt, omplaceret eller forvansket i registret. Måske vil du gerne have dine fingeraftryk udskiftet... hvem skal nu betale?
Beviskravet større, når det gælder bøder
Nej, den er for langt ude, men det, der som nævnt skræmmer, er udsigten til gruppesøgsmål (et civilt søgsmål), fordi misbrug er så let at føre bevis for.
Bøden derimod afhænger af en straffelovssag, hvor der skal ret så meget til for at løfte en bevisbyrde for, at virksomheden for eksempel har udøvet grov uagtsomhed.
Der bliver rigelig mulighed for at kunne dokumentere, at man da har foretaget den krævede risikoanalyse, at man følger ISO-sikkerhedsstandarder, at man tilmed kun køber sikkerhedscertificeret teknologi, og at man har gjort alt andet, der kan forventes - også sat i relation til virksomhedens størrelse.
Men hvor dataansvarlige ryster i bukserne, er der en anden gruppe, der glæder sig som små børn til juleaften - juristerne.
De får faktisk gaver hver eneste dag frem til "juleaften" for at hjælpe kunderne igennem alt det, der skal være på plads, den dag i 2018, hvor forordningen træder i kraft, og det er ikke så lidt.
Juristernes indtægtskilder fortsætter sikkert længe efter det efterhånden som tolkninger af en noget tåget forordning og tillægslove bliver mere og mere klar i spyttet.
Juristparadiset
Et slaraffenland for jurister, lød det fra én jurist.
Et juristparadis, lød det fra en anden, der påpeger, at stilling efter stilling på dette område allerede nu slås i alle EU-landene.
"Det er ikke ligefrem et sundhedstegn med en sådan eksplosion i behovet for jurister. De ynder også at puste problemstillingerne ekstra op for at øge antallet af timer forbrugt og dermed indtjeningen," sagde en gammel kyniker af en jurist til mig.
Han havde hellere set virksomhedernes penge fortrinsvis gå til flere sikkerhedsfolk og mere sikkerhedsteknologi.
Læs også: Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning