LA: Kun én minister bør have ansvar for it-sikkerhed

DEBAT: Hvis offentlige myndigheder bryder med reglerne for datasikkerhed, bør ansvaret placeres hos én minister alene, skriver Christina Egelund (LA).

Christina Egelund (LA)
It- og retsordfører

I sommer kom det frem, at Statens Serum Institut ved en fejl havde leveret fem millioner danskeres CPR-numre og oplysninger til et kinesisk visumbureau.

Den sag står i omfang alene, men desværre ikke i indhold. Jeg har sammen med andre folketingsmedlemmer kaldt sundhedsministeren i samråd om sagen ud fra lige dele forargelse og bekymring, for hvad bliver det næste?

Ja, det næste er tilsyneladende foreløbigt, at en medarbejder i Styrelsen for Patientsikkerhed ved en fejl har sendt følsomme personoplysninger om syv personer til en uvedkommende part. En part som ministeren siger ”uden for enhver tvivl må antages at være kriminel”. Det kom frem i en orientering til Sundsudvalget i begyndelsen af september måned.

Ansvaret skal placeres ét sted
Og ansvaret? Ja, det cykler rundt mellem ministeren, den konkrete medarbejder og styrelserne uanset fagområde. Der er brug for, at ansvaret for offentlig it-sikkerhed placeres hos én minister, der tager emnet alvorligt.

Problemet med skødeløs adfærd og manglende viden om beskyttelse af data er ikke kun knyttet til sundhedsområdet. Problemerne går på tværs af ressortområder (behøver jeg sige Skat?), og derfor er der brug for en minister med data og it i sin portefølje. Jeg overlader det trygt til statsministeren at beslutte, under hvilket ministerium opgaven skal ligge.

EU’s persondataforordning er på trapperne, og den indeholder strengere sanktioner ved brud på datasikkerheden. Det er valgfrit for det enkelte land, om sanktionerne skal gælde private såvel som offentlige virksomheder.

Principper på spil
Regeringen lægger op til, at kun private virksomheder skal omfattes. Det er nemt at feje kritik af banen i konkrete sager under henvisning til, at en enkelt medarbejder har brudt reglerne ved eksempelvis at sende følsomme data til sin egen mail, dele login med kolleger med videre, men til syvende og sidst handler det om kultur.

Hvis offentlige institutioner var omfattet af samme konsekvenser som det private, er jeg overbevist om, at kulturen ville ændres. Det er simpelthen ikke nok at sige, at en specifik medarbejder bliver fyret eller suspenderet. Med den tilgang ser man bort fra, at der er principper på spil.

Oplysninger om ens helbred er noget af det mest private og dyrebare for den enkelte. En patient skal kunne tale med sin læge om alt uden frygt for, at oplysninger fra ens journal falder i de forkerte hænder. Det gælder sådan set, uanset om man drøfter fodsvamp eller psykisk sygdom. Det er – og skal også i realiteten og fremtiden være – et af de mest grundlæggende principper for borgerens kontakt med sundhedssystemet.

Borgernes oplysninger ligger i dag ikke i aflåste arkivskabe bag adgangskoder, men man kan nogle gange få den tanke, at det var bedre, hvis de gjorde.

Forrige artikel EL: Datasikkerhed halter efter EL: Datasikkerhed halter efter Næste artikel Dansk Erhverv: Det offentlige skal bøde for datasjusk Dansk Erhverv: Det offentlige skal bøde for datasjusk
  • Anmeld

    Anders Ganer

    En for alle eller alle for én?

    Ansvaret for it-sikkerhed er hos alle ministre. Altså ansvaret inden for eget ressortområde.

    Erfaringerne fra SKAT har tydeligt vist, at hvis ledelsen har en afslappet holdning til risikostyring, så kan det gå galt. Hvis én minister får ansvaret, så risikerer vi, at ansvaret havner mellem to taburetter.

    Justitsministeren kunne passende få ansvaret for, at Datatilsynet får tilstrækkeligt med kompetencer og ressourcer til at agere som borgernes vagthund. Det er jo borgernes personlige oplysninger, der skal beskyttes mod overgreb fra virksomheder, myndigheder og private personer.

    Men ministeren virker ikke så forfærdeligt interesseret i at overtage et sådant ansvar. Måske er det derfor, at ministeren har udsendt signaler om, at bødekrav ved overtrædelser ikke bør ramme offentlige myndigheder....

    Og hvem er det så lige, der tager ansvaret på sig?