ANNONCE:
Den grundlæggende ret til databeskyttelseRetten til beskyttelse af personoplysninger er anerkendt som en selvstændig grundlæggende rettighed i artikel 8 i
Den Europæiske Unions charter om grundlæggende rettigheder i Den Europæiske Union.
Der findes mere præcise bestemmelser i EU's direktiver om databeskyttelse og de danske love, herunder
persondataloven, der gennemfører disse.
Jeg vil fremhæve en enkelt sætning, fra EU's
generelle databeskyttelsesdirektiv: "databehandlingssystemer er til for menneskets skyld; de skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, der gælder for fysiske personer, uanset statsborgerskab og bopæl, herunder retten til privatlivets fred, og bidrage til at sikre økonomiske og sociale fremskridt og til at fremme samhandelen og det enkelte menneskes velfærd". Retten til databeskyttelse er i øvrigt nært beslægtet med retten til privatliv i henhold til artikel 8 i Den Europæiske Menneskerettighedskonvention.
Retten til privatliv og databeskyttelsePå det sidste har Datatilsynet flere gange haft anledning til at fremhæve retten til privatliv og databeskyttelse. Det gælder bl.a. tilsynets høringssvar over højhastighedsrapporten.
Vi har også givet bemærkninger til It- og telepolitisk redegørelse 2010, som lægger op til en øget integrering og udnyttelse af informations- og kommunikationsteknologi (IKT) i alle dele af samfundet.
En sådan teknologisk udvikling indebærer en øget risiko i forhold til personers ret til privatliv og databeskyttelse. Der er efter Datatilsynets opfattelse behov for, at digitaliseringsprojekter også har fokus på at imødegå denne risiko.
Der må tilstræbes opretholdt et fortsat højt niveau for beskyttelse af personlige data og privatlivets fred. Dette må også anses for en grundlæggende forudsætning for borgernes fortsatte tillid til den offentlige sektors behandling af borgernes personlige data.
Beskyttelse af personoplysninger og privatliv bør derfor efter Datatilsynets opfattelse indgå som en integreret del af ethvert digitaliseringsprojekt. Med andre ord skal der anvendes Privacy by design. I den forbindelse har Datatilsynet endvidere peget på brugen af privatlivsfremmende teknologier eller Privacy Enhancing Technologies.
Den 29. april 2010 har IT- og Telestyrelsen offentliggjort
den it- og telepolitiske redegørelse. Og deraf fremgår det nu, at "Beskyttelse af privatliv og personoplysninger bør være en integreret del af digitaliseringsprojekter".
Behov for kompetencer og videnAf den it- og telepolitiske redegørelse fremgår også, at styrkelse af befolkningens generelle IKT-færdigheder er et væsentligt indsatsområde for regeringen.
Datatilsynet mener, at der sammen med behovet for IKT-færdigheder også er behov for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Dette gælder såvel generelt i befolkningen som hos de personer, der som ansatte i virksomheder og myndigheder udformer løsninger eller håndterer personoplysninger i det daglige.
Datatilsynet er bekymret over udviklingen, hvor tilsynet har konstateret
et stigende antal sikkerhedsbrister i de senere år.
Hertil kommer, at tilsynet har oplevet tilfælde, hvor myndigheder har udviklet løsninger eller sat systemer i drift uden at have sikret sig, at persondatalovens krav om datasikkerhed mv. er iagttaget.
Der synes således at være behov for at sætte beskyttelse af persondata - herunder overholdelse af gældende lovgivning herom - på dagsordenen i alle projekter og at gøre projekterne ansvarlige for rent faktisk at udvikle løsningerne i den ønskede retning.
Den menneskelige faktorLad mig til illustration fortælle om en enkelt konkret sag fra Datatilsynets hverdag. Endnu en sikkerhedssag. Denne gang oversendt fra Folketingets Ombudsmand. En kommune har besvaret ombudsmandens anmodning om oplysninger på e-mail. Og fremsendt fortrolige personoplysninger i en usikker mail.
Vi har netop truffet afgørelse i sagen. Resultatet er ikke overraskende, at kommunen ikke har levet op til persondatalovens krav om datasikkerhed. Og det er beklageligt.
På det fremadrettede kan vi notere os, at det fremgår af den pågældende kommunes it-sikkerhedspolitik, at e-post, der indeholder fortrolige eller følsomme personoplysninger, som minimum skal krypteres ved fremsendelse via internettet.
Det er altså ikke politikken, som mangler. Men man har ikke levet op til den.
Vi understreger derfor, at den dataansvarlige myndighed efter
sikkerhedsbekendtgørelsens § 6 er forpligtet til, at give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.
Vi opfordrer også til, at kommunen tager initiativ til at øge medarbejdernes kendskab til kommunens retningslinjer for brug af e-post. Herunder i særdeleshed at udbrede viden om, hvilke oplysninger der er fortrolige og derfor ikke må sendes med almindelig usikker e-post. I den forbindelse gør vi opmærksom på, at
eDag2 FAQ'en på modernisering.dk indeholder en række eksempler på,
hvilke oplysningstyper der skal beskyttes.
Dette eksempel er aktuelt men ikke et af de alvorligste tilfælde. Vi ser jævnligt sager, der er værre. Offentliggørelse af cpr-numre eller følsomme personoplysninger på internettet eller fremsendelse af personoplysninger til uvedkommende som følge af sjusk, er alvorlige fejl, som vi desværre også ser.
Medarbejderne den største sikkerhedstrussel?Netop som jeg skriver dette, har Børsen den 4. maj forskellige artikler. Overskrifter som siger, at "Forbrugerens datasikkerhed sejler" og "Medarbejderne er den største sikkerhedstrussel".
Og vi kan nikke genkendende til, at der i mange sager, som vi ser i Datatilsynet, ikke er tale om bevidst brud på sikkerhedskravene. Som det også siges i Børsens artikel, opstår mange af problemerne utilsigtet og på grund af uvidenhed.
Som Datatilsynet har sagt i sine høringssvar, er der behov for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Såvel generelt i befolkningen som hos de personer, der som ansatte i virksomheder og myndigheder udformer løsninger eller håndterer personoplysninger i det daglige.
Log ind
Publiceret d. 5. maj 2010 kl. 13.15
