Artikel top billede

Digital beskyttelse er strandet i et motto fra 00’erne

Klumme: Danmark er verdensførende, når det kommer til digitalisering. Det har vi grund til at være stolte af. Det samme kan man desværre ikke sige om den generelle forståelse af digitaliseringens konsekvenser eller den tilknyttede lovgivning. Det offentlige Danmark er strandet i en boble fra 00’erne.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Der er netop faldet dom i den såkaldte Gladsaxe-sag, hvor Gladsaxe kommune overtrådte GDPR-lovgivningen, da kommunen ikke havde krypteret sine computere.

Denne overtrædelse blev alvorlig, da computerne blev stjålet, og borgernes personfølsomme data pludselig var landet i hænderne på kriminelle.

Kommunen fik en bøde, men retten tilkendte ingen erstatning til borgerne.

Den dansk lovgivning har svært ved at følge med den digitale udvikling, og særligt dens konsekvenser er kun i meget begrænset omfang dækket tilstrækkeligt.

Med udrulningen af GDPR forsøgte man fra EU-plan at implementere en lovgivning, der i detaljer definerer, hvilket ansvar både private og offentlige aktører har til beskyttelse af de personfølsomme data, de håndterer.

Det skete i erkendelse af, at lemfældig omgang kan have næsten uoverskuelige konsekvenser for de krænkede; både materielle og immaterielle.

En alvorlig blind vinkel

Der er imidlertid en alvorlig blind vinkel: Hvor der er omfattende og detaljerede retningslinjer for de dataansvarlige, samt vejledninger i hvordan overtrædelser skal straffes, er det mere flyvsk, hvordan de krænkede skal kompenseres.

Det skyldes blandt andet, at den slags er et nationalt anliggende, men selv i Justitsministeriets betænkning nr. 1565 ”Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning”, der i artikel 82 behandler emnet, står det klart, at der ikke kan siges noget entydigt: Man er simpelthen i vildrede om, hvad et begreb som ’skade’ betyder i en digitaliseret verden.

I Gladsaxe-sagen valgte man at afvise erstatning til de krænkede, fordi de ikke havde lidt et direkte økonomisk tab.

At personfølsomme data som cpr-numre sammen med oplysninger om fx bopæl nu lå og svømmede rundt blandt kriminelle og dermed nemt ville kunne misbruges til fx at oprette lån blev ikke taget med i overvejelserne.

At datalækket med en vis ret også kunne betegnes som en krænkelse af privatlivets fred, kom heller ikke på tale. Det er svært, når det er digitalt.

Et stort efterslæb

Identitetstyveri på nettet er netop blevet gjort ulovligt. At dette først sker nu er naturligvis i sig selv rystende, men sammen med dommen i Gladsaxe-sagen viser det, at lovgivningen har stort efterslæb, og at man ikke i tilstrækkelig grad er opmærksom på, hvor alvorligt det er ikke at være tilstrækkeligt beskyttet.

Der er behov for en mental rekalibrering.

Vi skal som samfund og borgere blive klar over, hvor meget der er på spil.

Det er ikke kun vores kritiske infrastruktur eller virksomhedernes adgang til egne data og systemer, der er truet.

Det kan have alvorlige konsekvenser for den enkelte borgers liv. Både det materielle og immaterielle – hvis vi skal blive i de juridiske termer. For de to størrelser glider sammen i det digitale.

Det stiller store krav til de dataansvarlige og understreger behovet for en markant digital opgradering af særligt de offentlige systemers beskyttelse imod de stadigt mere sofistikerede it-kriminelle.

Der kommer nemlig løbende historier, der viser, at det offentlige Danmark stadig hænger i mottoet fra 00’erne, hvor digitaliseringen blev markedsført som ”at sætte strøm til arkivskabet”.

De fleste vil nok være enige i, at der er sket en smule siden, og at sikkerhed og beskyttelse i en cloudbaseret virkelighed skal og kan komme op på en helt anden klinge.

De private aktører er allerede i fuld gang og udnytter, at deres it-leverandører ligger i konstant kappestrid med de it-kriminelle og udvikler værktøjer til at imødegå truslen.

Det offentlige Danmark kan bedre lide at klare det selv, og med undtagelse af regulering udstedt af EU, så virker det som om, at det kan det ske næsten uden retslige konsekvenser, da lovgivningen ikke entydigt kan forholde sig til, at en krænkelse af privatlivets fred eller tyveri ikke er forbeholdt den analoge verden.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling og debat.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




Premium
Derfor har TDC udpeget ny topchef for Nuuday
Den nye topchef for Nuuday, har adskillige vellykkede transformationer i bagagen, lyder det fra TDC's ledelse som begrundelse for direktørskiftet.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Så ofte rammer din sikkerhedsleverandør plet – eller helt ved siden af
Denne uafhængige evaluering fra MITRE ATT&CK giver et billede af styrker og svagheder hos førende udbydere af cybersikkerhedsydelser. Rapporten vurderer bl.a. reaktion og træfsikkerhed på simulerede angreb og af, hvor hurtigt der slås alarm.