Søg

Derfor er den svenske it-skandale ikke en it-skandale - og databeskyttelse må aldrig blive en spareøvelse

Klumme: Når personer overlader os deres data, har vi pligt til at beskytte dem. Ligesom man gjorde i gamle dage før digitaliseringen.

28. juli 2017 kl. 10.59
Artikel top billede
Henrik Larsen Henrik Larsen Chef for DKCERT

Det er ikke en it-skandale. Det er en sag om myndigheder, der alvorligt svigter offentlighedens tillid.

Jeg tænker på den aktuelle sag fra Sverige, hvor en række følsomme data kan være kommet i uvedkommendes hænder.

En myndighed outsourcede it-systemer og undlod at følge kravene om, at data kun måtte behandles af personer med sikkerhedsgodkendelse.

Sagen er for mig et eksempel på, at vi tænker på data på en forkert måde.

Når en offentlig myndighed eller en privat virksomhed behandler data om personer, har den fået dem betroet af de personer, dataene handler om.

Derfor er det forkert, hvis man for at spare penge giver køb på sikkerheden.

Tænk tilbage på tiden før digitaliseringen.

Stålskabet

Dengang lå for eksempel kommunerne også inde med fortrolige data om borgerne. Disse data stod på papirer, der blev opbevaret i hængemapper i aflåste arkivskabe.

Ingen kommunal embedsmand kunne finde på at overlade nøglen til stålskabet til uvedkommende.

Den tankegang skal vi tilbage til.

Når data er digitale, er det utrolig nemt at kopiere, flytte og behandle dem. Men fordi noget er nemt, er det ikke nødvendigvis rigtigt.

Vi skal igen til at opfatte data som betroet gods. Noget, som borgerne eller kunderne har givet os lov til at bruge på betingelse af, at vi passer godt på det.

I praksis betyder det, at vi skal være meget omhyggelige, når vi udarbejder databehandleraftaler. Vi skal skrive helt klart, hvem der må behandle data og under hvilke betingelser.

Lovforslag er i høring

At beskytte persondata effektivt er grundtanken bag den databeskyttelsesforordning, som EU har vedtaget. Forordningen gælder automatisk som lov i Danmark fra maj næste år.

Men der er områder, som forordningen overlader det til medlemslandene at tage stilling til. Derfor har justitsministeriet nu udarbejdet et forslag til dansk lov, der indfører de dele, som forordningen ikke dækker.

Lovforslaget er i offentlig høring, du kan finde det her på Høringsportalen.

En god ting ved forordningen er, at den gør det dyrt at sløse med persondata.

Hvis en virksomhed ikke beskytter data ordentligt, så de bliver lækket, kan den straffes med bøde eller ligefrem fængsel. Straframmen går op til 20 millioner euro eller fire procent af virksomhedens årlige omsætning.

I praksis venter jeg dog, at de reelle bøder vil blive lavere.

Straf til det offentlige

Hvad så med offentlige myndigheder? Skal de også kunne idømmes straf?

Det spørgsmål har været udestående, siden forordningen blev vedtaget. Det er nemlig op til de enkelte medlemslande.

Derfor var jeg spændt på at se, hvad lovforslaget siger om det. Her er ordlyden af §41 stk. 5:
"[stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår]"

Så det må blive op til folketingets partier at afgøre.

Personlig er jeg i tvivl.

Et argument for en strafmulighed er, at det giver en klar motivation for at overholde loven. Endvidere har vi et princip om lighed for loven – hvorfor skal private virksomheder kunne idømmes bøder, mens offentlige myndigheder kan gå fri?

Imod taler, at der i sidste ende kun er et sted at hente de penge, en offentlig myndighed skal betale: Hos borgerne. Det kan ske i form af højere skatter eller forringet service. Vil vi acceptere længere ventetider på hospitalet, fordi det skal bruge penge på en bøde?

I dag har Datatilsynet meget begrænsede sanktionsmuligheder. Hvert år besøger tilsynet en række myndigheder. Og hvert år finder det tilfælde, hvor persondataloven ikke er overholdt.

Det medfører aldrig bøder – de er kun i få tilfælde givet til private virksomheder. Over for offentlige instanser er sanktionen kun, at Datatilsynet offentliggør kritik af myndigheden på sin webside.

Så erfaringen tyder på, at kritik ikke er tilstrækkeligt. En form for skrappere sanktion er nok nødvendig. Men om det skal være straffe i samme omfang som dem til de private aktører, er jeg i tvivl om. Måske skal det – som i det svenske tilfælde – være en personlig bøde til den ansvarlige chef.

Jeg kan anbefale at tage et kig på lovforslaget. Hvis du får lyst til at kommentere det, kan du sende et høringssvar. Sidste frist er den 22. august.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Med myQNAPcloud One er skyen ikke længere grænsen for din digitale suverænitet

    Annonceindlæg fra QNAP

    Med myQNAPcloud One er skyen ikke længere grænsen for din digitale suverænitet

    QNAP lancerer myQNAPcloud One: Delt cloudlagring til NAS-backups og skalerbare objekter. Ét abonnement, to tjenester til dine digitale aktiver.

    STELLA CARE ApS

    Backend-udvikler (AI-Native)

    Københavnsområdet

    Politi

    Form fremtidens IT hos Rigspolitiet: Er du vores nye Linux- og Kubernetes-specialist?

    Københavnsområdet

    Københavns Professionshøjskole

    Systemadministrator og/eller netværksadministrator med fokus på rejsen til Microsoft 365/Azure drift - bliv en del af et kompetent team

    Københavnsområdet

    VikingDanmark

    Chef for IT-teamet - drift, data og digital udvikling

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job

    Annbritt Andersen

    Guardsix

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job

    Ida Hyllested Friis

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Nu lanceres europæisk stor-alternativ til Microsoft Office: Det kan du forvente
    2 En helt ny type udvidelseskort finder vej til pc’en: Tilslutningsmulighederne er nærmest uendelige
    3 Han har bygget sin egen bestyrelse med fem AI-agenter: "Det er bestyrelseserfaring på steroider"
    4 Største nedgang i it-stillinger i flere år: 38.000 stillinger nedlagt på en måned
    5 Morgen-briefing: Ram-producents dystre udsigt: Priserne skal dobbelt op / Tech-aktierne styrtdykker: Trækker amerikansk aktiemarked ned / OpenAI er få uger fra at blive en ’super-app’
    6 Skæbnesvanger aften for Apple: Her er det vi forventer at se fra selskabets WWDC-show
    7 Her er de fem største ledelses-talenter i dansk it lige nu
    8 Apple åbner sit første udviklingscenter i Europa - her kommer det til at ligge

    Se seneste uge