Derfor er den svenske it-skandale ikke en it-skandale - og databeskyttelse må aldrig blive en spareøvelse

Klumme: Når personer overlader os deres data, har vi pligt til at beskytte dem. Ligesom man gjorde i gamle dage før digitaliseringen.

Det er ikke en it-skandale. Det er en sag om myndigheder, der alvorligt svigter offentlighedens tillid.

Jeg tænker på den aktuelle sag fra Sverige, hvor en række følsomme data kan være kommet i uvedkommendes hænder.

En myndighed outsourcede it-systemer og undlod at følge kravene om, at data kun måtte behandles af personer med sikkerhedsgodkendelse.

Sagen er for mig et eksempel på, at vi tænker på data på en forkert måde.

Når en offentlig myndighed eller en privat virksomhed behandler data om personer, har den fået dem betroet af de personer, dataene handler om.

Derfor er det forkert, hvis man for at spare penge giver køb på sikkerheden.

Tænk tilbage på tiden før digitaliseringen.

Stålskabet
Dengang lå for eksempel kommunerne også inde med fortrolige data om borgerne. Disse data stod på papirer, der blev opbevaret i hængemapper i aflåste arkivskabe.

Ingen kommunal embedsmand kunne finde på at overlade nøglen til stålskabet til uvedkommende.

Den tankegang skal vi tilbage til.

Når data er digitale, er det utrolig nemt at kopiere, flytte og behandle dem. Men fordi noget er nemt, er det ikke nødvendigvis rigtigt.

Vi skal igen til at opfatte data som betroet gods. Noget, som borgerne eller kunderne har givet os lov til at bruge på betingelse af, at vi passer godt på det.

I praksis betyder det, at vi skal være meget omhyggelige, når vi udarbejder databehandleraftaler. Vi skal skrive helt klart, hvem der må behandle data og under hvilke betingelser.

Lovforslag er i høring
At beskytte persondata effektivt er grundtanken bag den databeskyttelsesforordning, som EU har vedtaget. Forordningen gælder automatisk som lov i Danmark fra maj næste år.

Men der er områder, som forordningen overlader det til medlemslandene at tage stilling til. Derfor har justitsministeriet nu udarbejdet et forslag til dansk lov, der indfører de dele, som forordningen ikke dækker.

Lovforslaget er i offentlig høring, du kan finde det her på Høringsportalen.

En god ting ved forordningen er, at den gør det dyrt at sløse med persondata.

Hvis en virksomhed ikke beskytter data ordentligt, så de bliver lækket, kan den straffes med bøde eller ligefrem fængsel. Straframmen går op til 20 millioner euro eller fire procent af virksomhedens årlige omsætning.

I praksis venter jeg dog, at de reelle bøder vil blive lavere.

Straf til det offentlige
Hvad så med offentlige myndigheder? Skal de også kunne idømmes straf?

Det spørgsmål har været udestående, siden forordningen blev vedtaget. Det er nemlig op til de enkelte medlemslande.

Derfor var jeg spændt på at se, hvad lovforslaget siger om det. Her er ordlyden af §41 stk. 5:
"[stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår]"

Så det må blive op til folketingets partier at afgøre.

Personlig er jeg i tvivl.

Et argument for en strafmulighed er, at det giver en klar motivation for at overholde loven. Endvidere har vi et princip om lighed for loven – hvorfor skal private virksomheder kunne idømmes bøder, mens offentlige myndigheder kan gå fri?

Imod taler, at der i sidste ende kun er et sted at hente de penge, en offentlig myndighed skal betale: Hos borgerne. Det kan ske i form af højere skatter eller forringet service. Vil vi acceptere længere ventetider på hospitalet, fordi det skal bruge penge på en bøde?

I dag har Datatilsynet meget begrænsede sanktionsmuligheder. Hvert år besøger tilsynet en række myndigheder. Og hvert år finder det tilfælde, hvor persondataloven ikke er overholdt.

Det medfører aldrig bøder – de er kun i få tilfælde givet til private virksomheder. Over for offentlige instanser er sanktionen kun, at Datatilsynet offentliggør kritik af myndigheden på sin webside.

Så erfaringen tyder på, at kritik ikke er tilstrækkeligt. En form for skrappere sanktion er nok nødvendig. Men om det skal være straffe i samme omfang som dem til de private aktører, er jeg i tvivl om. Måske skal det – som i det svenske tilfælde – være en personlig bøde til den ansvarlige chef.

Jeg kan anbefale at tage et kig på lovforslaget. Hvis du får lyst til at kommentere det, kan du sende et høringssvar. Sidste frist er den 22. august.


Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Tung Atea-dominans på hardware-markedet helt ok, mener SKI: "Hvis en virksomhed vokser sig stor, er det typisk også fordi, den gør et eller andet rigtigt. Der er ikke noget i vejen med at være dominerende"
Der er glimrende konkurrence på markedet for det offentliges hardware-indkøb, selv om Atea lander de fleste ordrer, mener SKI. "Det er min opfattelse, at der er en glimrende og benhård konkurrence på hardwaremarkedet. Det er ikke nemt at være aktør på det marked," siger udbudsdirektør i SKI, Christian Lunding.
Computerworld
Kæmpe-cyberangreb afsløret: Millioner af computere hacket - pilen peger (igen) mod Rusland
Pilen peger entydigt mod Rusland, mener USA og Storbritannien. Se stor advisory om angrebet, der har inficeret millioner af routere, switche og lignende i virksomheder og myndigheder.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Klassiske brokere af it-konsulenter står over for kæmpe udfordring - forretningsmodellen er under pres
Klumme: Eksterne konsulenter er populære og en god løsning i en branche i vækst. Men selve forretningsmodellen bag it-konsulenterne er under alvorligt pres.
White paper
Hvilken slags CRM understøtter bedst din forretning?
Hvordan vælger jeg det rigtige CRM-system? Hvad skal jeg prioritere? Denne guide giver dig et solidt grundlag for at vælge det CRM-system, der understøtter netop din virksomhed og jeres processer bedst – og som støtter op om arbejdet med bl.a. salg, marketing og service gennem den samlede kunderejse. Du får også konkrete og brugbare tips til, hvordan du øger sandsynligheden for, at CRM bliver en naturlig og selvfølgelig del af dine medarbejderes dagligdag. Hvilket jo er grundlaget for, at det samlede CRM-projekt bliver til en succes.