Derfor er den svenske it-skandale ikke en it-skandale - og databeskyttelse må aldrig blive en spareøvelse

Klumme: Når personer overlader os deres data, har vi pligt til at beskytte dem. Ligesom man gjorde i gamle dage før digitaliseringen.

Det er ikke en it-skandale. Det er en sag om myndigheder, der alvorligt svigter offentlighedens tillid.

Jeg tænker på den aktuelle sag fra Sverige, hvor en række følsomme data kan være kommet i uvedkommendes hænder.

En myndighed outsourcede it-systemer og undlod at følge kravene om, at data kun måtte behandles af personer med sikkerhedsgodkendelse.

Sagen er for mig et eksempel på, at vi tænker på data på en forkert måde.

Når en offentlig myndighed eller en privat virksomhed behandler data om personer, har den fået dem betroet af de personer, dataene handler om.

Derfor er det forkert, hvis man for at spare penge giver køb på sikkerheden.

Tænk tilbage på tiden før digitaliseringen.

Stålskabet
Dengang lå for eksempel kommunerne også inde med fortrolige data om borgerne. Disse data stod på papirer, der blev opbevaret i hængemapper i aflåste arkivskabe.

Ingen kommunal embedsmand kunne finde på at overlade nøglen til stålskabet til uvedkommende.

Den tankegang skal vi tilbage til.

Når data er digitale, er det utrolig nemt at kopiere, flytte og behandle dem. Men fordi noget er nemt, er det ikke nødvendigvis rigtigt.

Vi skal igen til at opfatte data som betroet gods. Noget, som borgerne eller kunderne har givet os lov til at bruge på betingelse af, at vi passer godt på det.

I praksis betyder det, at vi skal være meget omhyggelige, når vi udarbejder databehandleraftaler. Vi skal skrive helt klart, hvem der må behandle data og under hvilke betingelser.

Lovforslag er i høring
At beskytte persondata effektivt er grundtanken bag den databeskyttelsesforordning, som EU har vedtaget. Forordningen gælder automatisk som lov i Danmark fra maj næste år.

Men der er områder, som forordningen overlader det til medlemslandene at tage stilling til. Derfor har justitsministeriet nu udarbejdet et forslag til dansk lov, der indfører de dele, som forordningen ikke dækker.

Lovforslaget er i offentlig høring, du kan finde det her på Høringsportalen.

En god ting ved forordningen er, at den gør det dyrt at sløse med persondata.

Hvis en virksomhed ikke beskytter data ordentligt, så de bliver lækket, kan den straffes med bøde eller ligefrem fængsel. Straframmen går op til 20 millioner euro eller fire procent af virksomhedens årlige omsætning.

I praksis venter jeg dog, at de reelle bøder vil blive lavere.

Straf til det offentlige
Hvad så med offentlige myndigheder? Skal de også kunne idømmes straf?

Det spørgsmål har været udestående, siden forordningen blev vedtaget. Det er nemlig op til de enkelte medlemslande.

Derfor var jeg spændt på at se, hvad lovforslaget siger om det. Her er ordlyden af §41 stk. 5:
"[stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår]"

Så det må blive op til folketingets partier at afgøre.

Personlig er jeg i tvivl.

Et argument for en strafmulighed er, at det giver en klar motivation for at overholde loven. Endvidere har vi et princip om lighed for loven – hvorfor skal private virksomheder kunne idømmes bøder, mens offentlige myndigheder kan gå fri?

Imod taler, at der i sidste ende kun er et sted at hente de penge, en offentlig myndighed skal betale: Hos borgerne. Det kan ske i form af højere skatter eller forringet service. Vil vi acceptere længere ventetider på hospitalet, fordi det skal bruge penge på en bøde?

I dag har Datatilsynet meget begrænsede sanktionsmuligheder. Hvert år besøger tilsynet en række myndigheder. Og hvert år finder det tilfælde, hvor persondataloven ikke er overholdt.

Det medfører aldrig bøder – de er kun i få tilfælde givet til private virksomheder. Over for offentlige instanser er sanktionen kun, at Datatilsynet offentliggør kritik af myndigheden på sin webside.

Så erfaringen tyder på, at kritik ikke er tilstrækkeligt. En form for skrappere sanktion er nok nødvendig. Men om det skal være straffe i samme omfang som dem til de private aktører, er jeg i tvivl om. Måske skal det – som i det svenske tilfælde – være en personlig bøde til den ansvarlige chef.

Jeg kan anbefale at tage et kig på lovforslaget. Hvis du får lyst til at kommentere det, kan du sende et høringssvar. Sidste frist er den 22. august.


Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Robotterne udfører i dag 100 mands arbejde: Lån & Spar Bank har firedoblet antallet af kundemøder ved hjælp af robotter
Fra Computerworlds arkiv: Lån & Spar Bank har kæmpesucces med robotter, der i dag udvikles af fire særlige udviklere. "De fire medarbejdere har indtil nu udviklet robotter, som udfører et arbejde det vil kræve 100 medarbejdere at udføre manuelt," siger it-direktør Casper Gjerris.
Computerworld
Ny-opdaget malware blokerer programmer som forsøger at slette den: Særligt windows 10 er ramt
En ny type malware er blevet opfanget, der både overvåger din computer og generer falske reklameindtægter til bagmændende. Og så har den en forkærlighed for Windows 10.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Sådan indfrier du virksomhedens digitale potentiale - og her giver det mest værdi at starte
Digitalisering er det altafgørende omdrejningspunkt for mange virksomheder. Men hvor tager man fat, så det giver mest værdi? EG har identificeret fem helt centrale områder, hvor der typisk er et perfekt match mellem virksomhedens behov og de teknologiske muligheder. Læs dette whitepaper og få indblik i, hvordan vidt forskellige virksomheder har grebet det an. 14 sider på dansk.