IDA: Offentligt datasjusk skal naturligvis koste

Af Jørn Guldberg
It-sikkerhedsekspert, Ingeniørforeningen, IDA

Hvis tilliden til digitaliseringen herhjemme skal være intakt, er der i den grad brug for, at offentlige myndigheder, der håndterer personfølsom data skødesløst, bliver straffet, så det kan mærkes.

Der er i gennem tiderne løftet pegefingre, uddelt gule kort og udtrykt bekymringer af forskellige grader, men intet har hjulpet. Sagerne vælter ind, og der går dårligt en uge uden en avishistorie om dårlig håndtering af personfølsomme oplysninger fra det offentlige. Det drejer sig om alt fra daginstitutioner og folkeskoler til behandling af fortrolige oplysninger på ældreområdet.

Med andre ord efterlades der meget tilbage at ønske på privatlivsfronten fra vugge til grav, og derfor er det et længe ventet tiltag, at offentlige instanser kan rammes på pengepungen. Hidtil er kun private virksomheder blevet straffet, hvis ikke de sørger for at passe på folks persondata. Bøder på op til 150 millioner kroner eller fire procent af virksomhedens globale omsætning ved grove lovbrud.

EU’s persondataforordning træder i kraft til maj måned, og EU-reglerne har ladet det være op til hvert enkelt medlemsland, hvordan de vil sanktionere offentlige myndigheder. Her ser jeg på ingen måde, at der skulle være noget problematisk i, at en offentlig instans kan modtage en bøde på op til 16 millioner kroner – nærmest tværtimod.

Beskyttelse skal være en økonomisk prioritering
Hele fundamentet for den omfattende hjemlige digitalisering hviler på tillid. Bliver befolkningens tillid til digitaliseringsprocessen undermineret, bliver projektet sat tilbage, hvilket vil betyde, at vi går glip af rigtig mange fordele og goder. Det er derfor tvingende nødvendigt, at de offentlige myndigheder tager opgaven seriøst.

Jeg ser jeg på ingen måde, at der skulle være noget problematisk i, at en offentlig instans kan modtage en bøde på op til 16 millioner kroner – nærmest tværtimod.

Jørn Guldberg
It-sikkerhedsekspert, Ingeniørforeningen, IDA

En af de helt afgørende bagvedliggende faktorer bag de mange tilfælde af datasjusk er nemlig, at området ikke har været økonomisk prioriteret. Den manglende beskyttelse skyldes ikke, at systemerne – nye som gamle – ikke kan sikre borgernes privatliv. Stort arbejdspres og mangel på effektive arbejdsgange betyder, at persondatabeskyttelse ikke bliver prioriteret i tilstrækkelig grad.

Nyudvikling af systemer koster også, og hvis den økonomiske prioritering hver gang ender mellem om borgerens privatliv eksponeres, eller om vedkommende kan få en times hjemmehjælp mere, har der hidtil ikke været tvivl om udfaldet af beslutningen.

Her vil bødestørrelsen uden tvivl blive et positivt værktøj for de it-ansvarlige ude omkring på de offentlige arbejdspladser, der forhåbentlig ikke længere behøver at skulle forklare nødvendigheden af at personfølsomme oplysninger behandles ordenligt.

Historikken er kedelig
Alene de senere år fadæser viser, at økonomiske sanktioner nok er sidste udvej. I efteråret kom Datatilsynet med en stærkt nedslående undersøgelse.

I en stikprøve af otte offentlige instanser klarede kun én frisag. Udbetaling Danmark havde opført sig ordenligt, mens tilstandene hos Beskæftigelsesministeriet, Sundheds- og Ældreministeriet, Vejdirektoratet og Sundhedsdatatilsynet blev fundet meget kritisable med "meget omfattende mangler". Udlændinge- og Integrationsministeriet, Rigspolitiet og Rigsadvokaten røg alle ind under kategorien ”kritisable forhold" med begrundelsen "omfattende mangler".

Om de har printet og lamineret undersøgelsen for at hænge den op på væggen eller har lavet papirfly ud af den er uvist, men det er sikkert, at de ikke har kunne mærke det økonomisk.

Datatilsyn skal styrkes
De nye tider kalder i den grad på et styrket Datatilsyn. Det har regeringen indset og sat flere midler af til på finansloven for dette år.

Det betyder, at der nu kan rettes op på et tiltrængt efterslæb, hvor antallet af medarbejdere stort set har ligget på samme niveau de seneste otte år.

Datatilsynet er den eneste vagthund, vi har, og når EU's persondataforordning skal implementeres betyder det, at de store krav, der nu bliver stillet til både den private og den offentlige sektor, skal kunne kontrolleres ordenligt. Ikke kun af jurister, men også af folk med teknisk indsigt, så det sikres, at forbrugere og borgere vil kunne føle sig mere trygge, end tilfældet er i dag.