"Inden danskerne får rystet alt for kraftigt på hovedet af de engelske skattemyndigheder, der for nylig mistede personfølsomme oplysninger på ikke færre end 25 millioner borgere, bør blikket vendes indad.
Det kan nemlig sagtens tænkes, at der er også er grelle danske eksempler på datatab.
Vi ved det bare ikke, for hverken private eller offentlige virksomheder har pligt til at oplyse om det, når der sker.
Ifølge sikkerhedseksperter er der ikke nogen grund til at tro, at omgangen med følsomme data skulle være mindre lemfældig i Danmark end i andre lande.
Forskellen er de udenlandske regler om pligt til offentliggørelse. Regler, som ikke findes i Danmark.
"I USA har man regler om, at virksomheder og organisationer skal offentliggøre det, hvis de har tabt personfølsomme data.
Efter den lov er indført, er det kommet frem, at der meget tit mistes personfølsomme data," siger Carsten Jørgensen, senior konsulent i Devoteam Consulting og ekspert i it-sikkerhed og forensics.
Danmark skal have en lov
Sådan er virkeligheden sandsynligvis også i Danmark.
Men Carsten Jørgensen har svært ved at pege på danske eksempler på tab af data, fordi sagerne kan holdes hemmelige og dermed ikke bliver kendt.
"I Danmark bliver sagerne ikke offentliggjort, for det skal man ikke. Derfor hører vi sjældent om problemer herhjemme," siger han.
Hvis cd-rom sagen fra England var sket i Danmark, havde vi muligvis kun hørt om den, hvis nogen havde fundet en cd, der lå og flød.
"Der er ikke mange virksomheder, der frivilligt ville fortælle om sådan et datatab," siger Carsten Jørgensen.
Danmark skal have en lov, der tvinger virksomheder til at offentliggøre det, hvis de mister eller får kompromitteret personfølsomme data, mener han.
"Forbrugerne og borgerne skal have mulighed for at få at vide, om der er sket noget med deres data," forklarer Carsten Jørgensen.
Datatab som aldrig tidligere
Kravet om åbenhed bakkes helhjertet op af direktøren for sikkerhedsorganisationen DK-CERT, Shehzad Ahmad.
Han mener også, at der skal være krav om offentliggørelse, hvis man som virksomhed eller myndighed kommer til at klokke i det.
"Jeg mener, vi bør have sådan en lov. Det er et problem, at vi ikke har en ærlig chance for at finde ud af, hvor stort omfanget af mistede data egentlig er. Der tabes data som aldrig tidligere," siger han
Ikke behov for lov
Justitsminister Lene Espersen (K) mener, at der ikke er behov for sådan en lov.
I et svar til Computerworld siger hun, at hvis uheldet er ude, og uvedkommende får kendskab til personfølsomme oplysninger, så må der tages de nødvendige skridt til at afbøde de gener, som dette indebærer for de berørte personer.
"I den forbindelse vil det navnlig kunne være relevant hurtigt at give underretning til de berørte borgere. Et sådant krav kan der allerede i dag stilles, og der er derfor efter min opfattelse ikke behov for at lovgive på området,” udtaler Lene Espersen.
Heller ikke Datatilsynet vurderer, at der er behov for en lov, der tvinger en offentliggørelse igennem ved datatab.
"Hvis man er kommet til at gøre noget, der ikke var så godt, skal man prøve at rette for sig, altså begrænse skaden, ved for eksempel at underrette dem, det er gået ud over og hjælpe med at få slettet oplysninger i søgemaskiner.
Det, mener vi, er et rimeligt krav at stille, og det har vi ikke haft problemer med at komme igennem med i praksis. Vi mener, det ligger i begrebet god databehandlingsskik," siger Janni Christoffersen, direktør i Datatilsynet.
Hun opfatter princippet om god databehandlingsskik som et krav, men erkender, at der ikke står noget om offentliggørelse i den særlige bestemmelse i persondataloven, der handler om behandlingssikkerhed.
"Men det generelle princip om god databehandlingsskik står altså i persondataloven," siger Janni Christoffersen.
Skal skæres ud i pap
DK-CERTs Shehzad Ahmad ser hellere en decideret lovgivning på området.
"Det holder ikke. God behandling og skik mig her og der. Jeg har hørt den argumentation tidligere, og jeg er meget uenig.
Vi er nødt til at have det skåret ud i pap. Det skal ikke kunne gradbøjes. Der skal stå direkte i en bekendtgørelse, at man skal offentliggøre det," understreger han.
I USA siger reglerne, at det skal meddeles direkte til de personer, som kan være omfattet af datatabet. Det vil sige, at det ikke først skal bevises, at oplysningerne bliver misbrugt, oplyser Carsten Jørgensen, Devoteam.
"I større sager skal der gøres opmærksom på hændelsen på firmaets hjemmeside, men det er ikke et krav, at der skal indberettes til en myndighed eller offentliggøres i pressen," siger han.
Sager bliver ofte omtalt
I Danmark vil det ofte være sådan, at de sager, hvor Datatilsynet kommer ind i billedet, vil blive offentligt omtalt, oplyser siger Janni Christoffersen.
Enten fordi medierne henleder Datatilsynets opmærksomhed på dem, eller fordi Datatilsynet selv offentliggør dets udtalelser på tilsynets hjemmeside eller i årsberetningen.
Hvordan en situation med flere millioner berørte, som i England, skal håndteres, har Datatilsynet ingen praksis for.
"Heldigvis ikke, men det kan blive aktuelt. Og så er offentliggørelse måske den eneste måde at gøre noget effektivt på," siger Janni Christoffersen.
