Derfor er den svenske it-skandale ikke en it-skandale - og databeskyttelse må aldrig blive en spareøvelse

Klumme: Når personer overlader os deres data, har vi pligt til at beskytte dem. Ligesom man gjorde i gamle dage før digitaliseringen.

Det er ikke en it-skandale. Det er en sag om myndigheder, der alvorligt svigter offentlighedens tillid.

Jeg tænker på den aktuelle sag fra Sverige, hvor en række følsomme data kan være kommet i uvedkommendes hænder.

En myndighed outsourcede it-systemer og undlod at følge kravene om, at data kun måtte behandles af personer med sikkerhedsgodkendelse.

Sagen er for mig et eksempel på, at vi tænker på data på en forkert måde.

Når en offentlig myndighed eller en privat virksomhed behandler data om personer, har den fået dem betroet af de personer, dataene handler om.

Derfor er det forkert, hvis man for at spare penge giver køb på sikkerheden.

Tænk tilbage på tiden før digitaliseringen.

Stålskabet
Dengang lå for eksempel kommunerne også inde med fortrolige data om borgerne. Disse data stod på papirer, der blev opbevaret i hængemapper i aflåste arkivskabe.

Ingen kommunal embedsmand kunne finde på at overlade nøglen til stålskabet til uvedkommende.

Den tankegang skal vi tilbage til.

Når data er digitale, er det utrolig nemt at kopiere, flytte og behandle dem. Men fordi noget er nemt, er det ikke nødvendigvis rigtigt.

Vi skal igen til at opfatte data som betroet gods. Noget, som borgerne eller kunderne har givet os lov til at bruge på betingelse af, at vi passer godt på det.

I praksis betyder det, at vi skal være meget omhyggelige, når vi udarbejder databehandleraftaler. Vi skal skrive helt klart, hvem der må behandle data og under hvilke betingelser.

Lovforslag er i høring
At beskytte persondata effektivt er grundtanken bag den databeskyttelsesforordning, som EU har vedtaget. Forordningen gælder automatisk som lov i Danmark fra maj næste år.

Men der er områder, som forordningen overlader det til medlemslandene at tage stilling til. Derfor har justitsministeriet nu udarbejdet et forslag til dansk lov, der indfører de dele, som forordningen ikke dækker.

Lovforslaget er i offentlig høring, du kan finde det her på Høringsportalen.

En god ting ved forordningen er, at den gør det dyrt at sløse med persondata.

Hvis en virksomhed ikke beskytter data ordentligt, så de bliver lækket, kan den straffes med bøde eller ligefrem fængsel. Straframmen går op til 20 millioner euro eller fire procent af virksomhedens årlige omsætning.

I praksis venter jeg dog, at de reelle bøder vil blive lavere.

Straf til det offentlige
Hvad så med offentlige myndigheder? Skal de også kunne idømmes straf?

Det spørgsmål har været udestående, siden forordningen blev vedtaget. Det er nemlig op til de enkelte medlemslande.

Derfor var jeg spændt på at se, hvad lovforslaget siger om det. Her er ordlyden af §41 stk. 5:
"[stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår]"

Så det må blive op til folketingets partier at afgøre.

Personlig er jeg i tvivl.

Et argument for en strafmulighed er, at det giver en klar motivation for at overholde loven. Endvidere har vi et princip om lighed for loven – hvorfor skal private virksomheder kunne idømmes bøder, mens offentlige myndigheder kan gå fri?

Imod taler, at der i sidste ende kun er et sted at hente de penge, en offentlig myndighed skal betale: Hos borgerne. Det kan ske i form af højere skatter eller forringet service. Vil vi acceptere længere ventetider på hospitalet, fordi det skal bruge penge på en bøde?

I dag har Datatilsynet meget begrænsede sanktionsmuligheder. Hvert år besøger tilsynet en række myndigheder. Og hvert år finder det tilfælde, hvor persondataloven ikke er overholdt.

Det medfører aldrig bøder – de er kun i få tilfælde givet til private virksomheder. Over for offentlige instanser er sanktionen kun, at Datatilsynet offentliggør kritik af myndigheden på sin webside.

Så erfaringen tyder på, at kritik ikke er tilstrækkeligt. En form for skrappere sanktion er nok nødvendig. Men om det skal være straffe i samme omfang som dem til de private aktører, er jeg i tvivl om. Måske skal det – som i det svenske tilfælde – være en personlig bøde til den ansvarlige chef.

Jeg kan anbefale at tage et kig på lovforslaget. Hvis du får lyst til at kommentere det, kan du sende et høringssvar. Sidste frist er den 22. august.


Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Mere end 1.000 CPR-numre på danske universitetsstuderende lå offentligt tilgængeligt i mere end tre år
En fejlplacering af to filer har betydet at CPR-numre på mere end 1.000 studerende har ligget offentligt tilgængeligt på nettet i mere end tre år.
Computerworld
Gratis wifi på vej i 15 danske byer: Disse danske byer bliver del af europæisk wifi-initiativ
Femten danske byer er blevet udvalgt til at deltage i et EU-initiativ, der betyder, at borger og turister i byerne i løbet af de kommende år vil få adgang til gratis wifi.
CIO
Tag med på Computerworlds store lederkonference og mød de danske top-CIO'er, som bygger de nye it-afdelinger
Anvendelsen af digital teknologi og organiseringen af it-afdelinger er under radikal transformation. På konferencen Digitaliseringsledelse 2.0 kan du møde de CIO'er fra Bankdata, Adform og Rockwool, som står i spidsen for teknologi-adoptionen.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
6 gode råd til et succesfuldt virtuelt møde
Den traditionelle måde at tænke arbejdsplads på er under forandring. Nye teknologier skyder frem og gør hverdagen nemmere og mere dynamisk. Eksempelvis er mængden af fjernarbejdspladser steget med 115% de seneste 10 år, og det stiller krav til måden at holde møder på. Med et virtuelt møderum kan møder faciliteres online, og alle parter sparer tid fordi det er mere fleksibelt og ikke betinget af at alle møder op fysisk. I dette whitepaper kigger vi på hvad der skal til for at mestre denne disciplin og giver dig 6 gode råd.