LA: Bedre it-sikkerhed kræver langt større fokus

DEBAT: Det nytter ikke noget at bede offentlige myndigheder om at prioritere it-sikkerhed, hvis de ikke ved, hvordan de skal bære sig ad, skriver Christina Egelund (LA). Hun mener, at vi bør bruge alle ressourcer, der skal til, for at det offentlige kan tilegne sig den nødvendige ekspertise.

Af Christina Egelund
IT-ordfører, Liberal Alliance

Det er uendeligt vigtigt, at oplysninger om for eksempel vores samtaler med lægen, antallet af indlæggelsesdage og diagnoser bliver holdt strengt fortrolige. Altid. De sundhedsoplysninger, som det offentlige har om borgerne, må aldrig nogensinde havne i hænderne på kriminelle eller andre, der ikke har noget at bruge den slags til.

Men de, der har fulgt debatten, ved, at det sommetider går galt. Den seneste tid har budt på indtil flere datalæk af forskellig karakter og omfang. Offentlige myndigheders omgang med personfølsomme oplysninger er hovedrystende lemfældig nogle gange, og det skal vi have sat en stopper for. Det kan næsten kun gå for langsomt.

Kommer ikke uden om ansvarsfordeling
I mit seneste indlæg tog jeg hul på spørgsmålet om ansvar og konsekvens, og lad mig dvæle lidt ved det. Hvis vi skal have bedre it-sikkerhed, kræver det et langt større fokus på emnet, og i den forbindelse kommer vi næppe uden om en klar ansvarsfordeling.

Sidste gang efterlyste jeg, at man placerer ansvaret under én minister, i stedet for at aben sendes rundt, hver gang der sker et datalæk – så vidt det centrale regi. Det næste naturlige skridt vil være at sørge for, at der også decentralt, altså ude i den enkelte offentlige myndighed, kommer et større fokus på it-sikkerhed.

Logisk med bødestraf
Hvis der sker et datalæk, vil det være fuldstændig logisk at straffe den ansvarlige offentlige myndighed med en bøde. Den mulighed findes da også i EU’s nye persondataforordning, som fra 2018 skærper kravene til håndteringen af persondata. Men som Janus Sandsgaard, der er fagchef for digitalisering i Dansk Erhverv, har påpeget i denne debatrække om it-sikkerhed, fravælges den mulighed tilsyneladende i Danmark.'

Man straffer altså gladeligt private virksomheder, hvis de lækker personfølsomme oplysninger, men offentlige myndigheder går fri. Det giver mildest talt ikke anledning til den store ansvarsfølelse over for hemmeligholdelsen af borgernes private oplysninger!

Ikke dermed sagt, at der i dag sidder nogle medarbejdere i det offentlige, som sjusker med it-sikkerheden med vilje – selvfølgelig ikke. Men der mangler tydeligvis det nødvendige fokus, og min påstand er, at ledelserne i offentlige myndigheder vil prioritere it-sikkerheden højere, hvis der er en mærkbar konsekvens af sløseri. Det er aldrig sjovt for en arbejdsplads, offentlig eller privat, at blive ramt på pengepungen.

Flere midler til et kompetenceløft
Men hvis opgaven med at løfte it-sikkerheden skal kunne løses tilfredsstillende, skal de nødvendige kompetencer selvfølgelig være til stede. Det nytter ikke noget at bede offentlige myndigheder om at prioritere it-sikkerhed, hvis de ikke ved, hvordan de skal bære sig ad. Vi må ikke være blinde for, at det kan koste ressourcer at sætte fokus på it-sikkerhed, og derfor kan et større ressourcemæssigt fokus også vise sig at blive nødvendigt.

Efter min mening bør vi bruge de midler, der skal til, for at offentlige myndigheder kan tilegne sig den nødvendige ekspertise. Det her er ikke et område, hvor vi skal gå på kompromis. Når vi for eksempel går til lægen, skal vi kunne stole på, at de oplysninger, der videregives, bliver behandlet med største fortrolighed. Et sundhedssystem, som patienterne nærer mistillid til, er næppe et særlig godt et af slagsen.

Forrige artikel Dansk IT: Det offentliges sjusk med borgernes data bør straffes Dansk IT: Det offentliges sjusk med borgernes data bør straffes Næste artikel Advokat: Adgangskontrol skaber ikke tryghed Advokat: Adgangskontrol skaber ikke tryghed