Dansk Erhverv: Det offentlige skal bøde for datasjusk

DEBAT: Offentlige myndigheder skal straffes, når de bryder med reglerne for datasikkerhed. Ellers skævvrider det incitamenterne, skaber kunstigt lave priser og sætter it-sikkerheden over styr, skriver Janus Sandsgaard fra Dansk Erhverv.

Af Janus Sandsgaard
Fagchef for digitalisering, Dansk Erhverv

En virksomhed sjusker med it-sikkerheden: Bøde op til 20 millioner euro. En offentlig myndighed sjusker med it-sikkerheden: Bøde 0 kroner. Det er gift for den digitale fremtid.

Over sommeren kom det frem, at Statens Serum Institut tilbage i februar 2015 havde sendt et omfattende udtræk af persondata med almindelig fodpost. Sundhedsoplysninger på fem millioner danskere lå på to ukrypterede cd’er og blafrede i en boblekuvert. Det svarer nogenlunde til at skrive hemmeligheder på åbne postkort. Tak for kaffe.

Tillid til offentlig databehandling
Sagen kom frem og vakte forargelse, fordi Post Danmark leverede brevet til en forkert adresse. Men måske det mest var fokus, der var på afveje. For det handler ikke bare om de to cd’er og posten, der fumlede den dag. Det er en langt mere principielt sag om tilliden til digitaliseringen og det offentliges modenhed.

Vejen til en smartere og mere effektiv offentlig sektor er digital. Det hepper også regeringen på, blandt andet fordi digitaliseringen skal finansiere andre politiske løfter. Men når der tegner sig et billede af en offentlig sektor, der blæser på it-sikkerheden, risikerer vi, at tilliden og hele projektet ryger i vasken.

EU’s nye persondataforordning stiller fra 2018 skærpede krav til håndtering af persondata. Hvis en virksomhed handler lemfældigt, falder hammeren hårdt med bøder på op til 20 millioner euro og krav om at underrette alle berørte. Myndigheder kan straffes tilsvarende, men den mulighed fravælges tilsyneladende fra dansk side, og så slipper danske myndigheder fortsat med en løftet pegefinger, hvis man eksempelvis kaster millioner af sundhedsdata i grams.

Det offentlige skal også bøde
Sådan må det nødvendigvis være, ”for det giver ikke mening med bøder til offentlige myndigheder; det er jo samme pengekasse”, lyder et argument. Men selvfølgelig har bøder en præventiv effekt. Hvilken styrelsesdirektør tager let på tanken om at skulle afskedige medarbejdere, gå tiggergang eller brænde sine resultatmål for at kunne betale en bøde for at have klokket med it-sikkerheden?

Et andet argument mod bødestraf til myndigheder er født i Straffelovens § 27 stk. 2, der siger, at "Statslige myndigheder og kommuner kan alene straffes i anledning af overtrædelser, der begås ved udøvelse af virksomhed, der svarer til eller kan sidestilles med virksomhed udøvet af private."

Det tolkes af nogen som, at bøder til det offentlige per definition er udelukket, fordi det offentlige ikke kan straffes, når der foreligger myndighedsudøvelse. Men der er flere tilfælde, hvor det offentlige kan idømmes bøder.

Det gælder for eksempel ved overtrædelser af arbejdsmiljølovgivningen, hvor både private og offentlige virksomheder kan idømmes bøder. Det gælder fødevareloven, hvor ”rullepølse-sagen” for to år siden udløste bøder på 40.000 kroner til flere offentlige institutioner for ikke at have handlet i overensstemmelse med reglerne. Og det gælder inden for udbud, hvor Moderniseringsstyrelsen 4. maj 2016 blev pålagt at betale 250.000 kroner i økonomisk sanktion for overtrædelse af udbudsdirektivet.

Drop forskelsbehandling 
Når en privat virksomhed byder på en opgave, indregnes robust it-sikkerhed. Bøderammen på 20 millioner euro er et vink om alvoren. Hvis konsekvensen af offentlig datasjusk også fremover begrænser sig til et løftet øjenbryn fra Datatilsynet eller Rigsrevisionen og en tur i mediernes vridemaskine, skævvrider det incitamenterne, skaber kunstigt lave priser hos offentlige spillere og sætter it-sikkerheden over styr.

Samfundet bliver stadig mere digitalt. Derfor er it-sikkerhed langt fra noget afgrænset eller ”dimset”, men et fundament og en forudsætning for også politiske ønsker til udviklingen. Det kan få vidtrækkende konsekvenser, hvis vi politisk tilvælger en markant forskelsbehandling, der sender det offentlige i ”digital helle”. Vi risikerer at krænke retsfølelsen og skade tilliden til den offentlige sektor. Det er gift for den digitale fremtid.

Forrige artikel Professor: Danmark svigter patienter med arveligt forhøjet kolesterol Professor: Danmark svigter patienter med arveligt forhøjet kolesterol Næste artikel LA: Kun én minister bør have ansvar for it-sikkerhed LA: Kun én minister bør have ansvar for it-sikkerhed
Podcast: Bør Europa have et fælles epidemiberedskab?

Podcast: Bør Europa have et fælles epidemiberedskab?

AJOUR: Coronavirussen har ramt Europa hårdt, og derfor burde EU-landene genoplive snakken om et styrket europæisk epidemiberedskab. Det mener tidligere dansk generaldirektør i EU-Kommissionen, Claus Haugaard Sørensen. Lyt til et interview med ham i dagens udsendelse.