Vi har et problem med datasikkerhed: Det offentlige må godt overtræde GDPR

Klumme Vi har et problem, når det kommer til datasikkerhed – der er en tydelig dobbeltstandard. Vi har et sæt regler, der gælder for det private, men ikke for det offentlige, og det kan ikke være rigtigt.

Artikel top billede

(Foto: Dan Jensen)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Det offentlige må godt overtræde GDPR

Eller rettere – det må de ikke, men der er ikke nogen konsekvenser, når det sker. Det giver en dobbeltstandard, og datasikkerheden bliver aldrig bedre, hvis der ikke bliver ændret på det forhold

Vi har et problem, når det kommer til datasikkerhed – der er en tydelig dobbeltstandard.

Vi har et sæt regler, der gælder for det private, men ikke for det offentlige, og det kan ikke være rigtigt.

For det handler om at være et godt eksempel.

Det offentlige må gå i front og ikke bare løfte pegefingeren over for det privat.

Hvis det ikke sker, giver det os så ret til at slække på vores egen holdning til datasikkerheden?

Vi mister tilliden

Offentlige institutioner mister vores tillid, når de sløser med personlige data – noget, der desværre ikke er nogen nyhed, eller noget, der sker sjældent.

For nyligt var det Roskilde Universitet, der måtte indrømme, at deres it-sikkerhedsparader var helt nede om knæene og gav adgang til omkring 2.700 personers cpr-numre.

Hvor tåbelig og problematisk denne sag er, så er den ikke enestående og den vil heller ikke være den sidste, vi kommer til at se.

For der er reelt ikke nogen konsekvenser, når det offentlige på nogen måde sjusker med vores data, eller med it-sikkerheden.

Det er det dilemma, vi står i her. For på den ene side, så indfører lovgiverne, både her i Danmark og i hele EU, regler og love der skal overholdes for at sikre datasikkerhed og den personlige sikkerhed online.

På den anden side, så er det tydeligt, at de love ikke gælder for dem selv, eller ikke har samme konsekvenser, som de har for alle andre.

Nul konsekvenser

Hvis vi i den private sektor sjusker med it-sikkerhed, eller hvis vi lækker data, så står vi til regnskab overfor forordninger som eksempelvis GDPR, EU's persondataforordning, efter hvilken vi kan idømmes store bøder, hvis vi ikke kan leve op til de krav, den udstikker.

Men hvis det offentlige overtræder GDPR, så er der absolut ingen konsekvenser. Der er ikke nogen, man kan give en bøde, ikke nogen, man kan straffe.

I princippet kunne man godt give en bøde til en offentlig instans, men den regning ender jo bare tilbage hos skatteyderne, og bøden vil ingen effekt have.

Hvorfor er det lige, at der skal være forskellige standarder? Hvorfor er det, at den private sektor kan straffes og ikke det offentlige?

Vi har en rigsrevision, der gang på gang påpeger, at sikkerheden i det offentlige er hullet som en si, og der sker absolut intet – for der er jo ingen konsekvenser.

Når det offentlige har en læk, så står cheferne frem og undskylder, og så stopper den der.

Urimelig dobbeltstandard

Det bringer mig tilbage til det dilemma, som vi står i, nemlig at der er en dobbelt standard, når det kommer til it-sikkerhed og databeskyttelse.

Lovgiverne kræver, at vi i det private skal leve op til, og finde ud af, lovgivninger og foranstaltninger som GDPR, mens de selv ikke kan finde ud af det, og ofte står i den situation, at data lækkes fra offentlige institutioner.

Datasikkerhed er vigtigt og vi må og skal passe på vores private informationer, men det må ikke være en dobbeltstandard – regler skal gælde for alle, og det må være op til vores lovgivere at finde ud af, hvordan det gennemføres i praksis.

Et gammelt ordsprog siger, at du skal feje for egen dør, og det gælder også her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Navnenyt fra it-Danmark

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics