Regeringen vil ikke straffe offentligt CPR-sjusk

Da Datatilsynet i ly af sommeren afslørede, at Statens Serum Institut tilbage i februar 2015 afleverede godt fem millioner danske CPR-numre og helbredsoplysninger til et kinesisk visumbureau, kom debatten hurtigt til at handle om Post Danmarks evne til at håndtere anbefalede breve.

Forseelsen, som affødte kritik fra Datatilsynet, bestod i, at dataudtrækkene fra Statens Serum Institut blev opbevaret på to ukrypterede cd’er. Tanken var, at cd’erne skulle sendes til Danmarks Statistik. Men angiveligt gik postbudet forkert og afleverede dem hos naboen Chinese Visa Application Centre.

En fejl, som ifølge digitaliseringschef i Dansk Erhverv Janus Sandsgaard er utilgivelig, fordi den er med til at undergrave tilliden til det digitale samfund.

“Vejen til en smartere og mere effektiv offentlige sektor går gennem digitalisering. Og hvis der tegner sig et billede af, at den offentlige sektor blæser på it-sikkerheden, så risikerer vi at miste tilliden til hele systemet,” siger han.

Jeg er stærkt kritisk over for, at man ikke påtænker, at det offentliges datasjusk skal straffes lige så hårdt som det privates. Borgernes data bliver ikke mindre følsomme af, at de lækkes fra offentlige myndigheder, og derfor skal det naturligvis have samme konsekvenser.

Christina Egelund
Retsordfører, LA

Og det er i det lys, at han er skuffet over, at Danmark ifølge en række kilder ikke støtter op om nye regler fra EU, som gør det muligt økonomisk at straffe offentlige myndigheder ved datasjusk.

Danmark undtager myndigheder for datastraf
En ny europæisk persondataforordning vedtaget i december 2015 betyder, at private virksomheder kan straffes med bøder på helt op til 20 millioner euro. Og selv om forordningen rummer samme sanktionsmuligheder over for offentlige aktører, ønsker man fra dansk side ikke at gøre brug af dem.

“Desværre ser det ud til, at Danmark vælger at undtage offentlige myndigheder, så de slipper med en løftet pegefinger. Det giver svagere incitamenter til at passe på data,” siger han.

Og udover at kompromittere datasikkerheden risikerer det også at skævvride konkurrencen mellem offentlig og privat, advarer Dansk Erhverv.

“Når en privat virksomhed skal byde på en opgave, indtænker man, hvad det kræver og koster at bygge robust it-sikkerhed. Udsigten til bøder på op til 20 millioner euro er et vink med en vognstang om, hvor afgørende det er – men altså kun for de private. Offentlige aktører kan slippe med kritik fra Datatilsynet samt dårlig omtale i dagspressen, og det kommer til at give kunstigt lave priser hos offentlige spillere,” Janus Sandsgaard.

Data er radioaktiv guldgrube
Et følgebrev, som it-sikkerhedskonsulent og medstifter af Bitbureauet Christian Panton har fået aktindsigt i, viser, at det lækkede dataudtræk omfatter Cancerregisteret, Det Nationale Diabetesregister, Landspatientregisteret-Psykiatri samt det såkaldte DRG-register, som bruges til at udregne behandlingspriser på tværs af landet.

Der er med andre ord tale om ekstremt personfølsomme data, som ifølge Christian Panton blandt andet kan bruges i afpresningssager, hvis de havner i de forkerte hænder. Og i det lys finder han det kritisabelt, at sanktionsmulighederne over for offentlige myndigheder ikke er større.

“Det er tydeligt, at det offentlige i denne sag har haft en meget afslappet holdning. Datatilsynets kritik bliver negligeret som en leveringsfejl fra Post Danmark. Det viser for mig, at konsekvenserne ved overtrædelser bør være større,” siger han.

I modsætning til Dansk Erhverv er han ikke sikker på, at pengebøder er løsningen. Han ville i stedet begynde med at samle ansvaret for datahåndtering under én fælles myndighed frem for det kludetæppe, der kendetegner reguleringen i dag. Og så ville han ændre retorikken.

“Man bliver nødt til at tænke på data som andet end guldgruber for erhvervslivet. Jeg betragter selv data som radioaktivt materiale: Et meget potent produkt, som kræver stor omhyggelighed,” siger han.

Andre lande straffer myndigheder
Jurist og persondataspecialist hos Bech-Bruun Charlotte Bagger Tranberg advarer imod, at man ser EU’s persondataforordning som svaret på alle udfordringer vedrørende behandling af personoplysninger. Helt så konkret er regelsættet nemlig ikke.

“Men forordningen udvider paletten for, hvordan man kan stille offentlige og private aktører til ansvar for fejlagtig håndtering af data. Effekten af kravene i forordningen vil alt andet lige blive svækket, hvis man fra dansk side arbejder for, at offentlige myndigheder fortsat skal fritages for at blive pålagt bøder,” siger hun.

I Storbritannien og en række andre europæiske lande kan kommuner og andre offentlige myndigheder, som ikke passer godt nok på borgernes sundhedsdata, allerede i dag straffes med bøder. Og selv om det umiddelbart kan virke omsonst at flytte bødepenge rundt mellem forskellige offentlige kasser, vil bøder alligevel have en effekt, siger Charlotte Bagger Tranberg.

“Ønsket om at fritage offentlige myndigheder kan skabe en skævhed i forhold til private virksomheder, som kan pålægges en bøde på op til fire procent af den årlige omsætning,” siger hun.

LA afkræver Søren Pind svar
Enhedslisten, Dansk Folkeparti og Liberal Alliance har allerede kaldt sundhedsminister Sophie Løhde (V) i samråd for at sikre sig, at sagen ikke gentager sig.

Og i Liberal Alliance vil retsordfører Christina Egelund afkræve justitsminister Søren Pind (V) svar på, hvorfor man lægger op til at lade offentlige aktører slippe billigere end private.

“Jeg er stærkt kritisk over for, at man ikke påtænker, at det offentliges datasjusk skal straffes lige så hårdt som det privates. Borgernes data bliver ikke mindre følsomme af, at de lækkes fra offentlige myndigheder, og derfor skal det naturligvis have samme konsekvenser,” siger hun.

Liberal Alliance vil derfor presse på for, at implementeringen af EU’s nye regler for persondata skaber ens vilkår for offentlig og privat.

“Man kan endda overveje, om straffen skal skærpes, når der er tale om særligt følsomme data. Og netop denne type læk kommer som regel fra det offentlige,” siger hun.

Altinget har bedt Justitsministeriet om svar på, hvorfor man ikke ønsker at pålægge offentlige myndigheder bødestraf ved fejl i databehandlingen. Det har dog ikke været muligt.