Bøde-dilemmaet: Skal offentligt datasjusk gå ud over kræftpatienter?

Hvem kommer til at betale prisen, når de offentlige myndigheder skal straffes for datasjusk?

Skal offentlige virksomheder på linje med private kunne straffes med bøde, hvis de sjusker med borgernes persondata?

Spørgsmålet har været et af de store ubekendte i persondataforordningen, siden EU vedtog loven i 2015. Fredag erklærede justitsminister Søren Pape Poulsen, at regeringen nu er klar med et svar - som lyder ‘ja’ til bøder til det offentlige.

Til glæde for blandt andet Dansk IT og Dansk Erhverv, og til mildest talt mindre glæde for kommuner og regioner.

Det er svært at fortænke regeringen i at have brugt langt tid på at komme frem til et svar på spørgsmålet. For det giver unægteligt anledning til en række svære dilemmaer.

Helt konkret skal myndigheder kunne straffes med bøder på op til 4 procent af driftsbudgettet - dog maksimalt 16 millioner kroner - hvis den bryder loven.

De fire procent er hentet direkte fra EU’s GDPR, der sætter bødeloftet til fire procent af en virksomheds globale omsætning

»Overholder man ikke reglerne om databeskyttelse, er det en alvorlig sag, som skal have mærkbare konsekvenser. Derfor har regeringen besluttet, at også offentlige myndigheder skal kunne få bøder, hvis de overtræder reglerne,« skriver Søren Pape Poulsen i en kommentar til Politiken.

Læs også: GDPR: Regeringen vil give det offentlige bøder for sjusk med data

Mærkbare konsekvenser er netop, hvad adskillige parter har efterlyst, når det kommer til myndighedernes dårlige datahåndtering. Datatilsynet - som får ansvar for at håndhæve GDPR - har over for Version2 forklaret, at hvis en kommune ikke overholder formaningerne, så er der meget lidt tilsynet kan gøre ved det.

»I princippet kan de bare sige: ‘Det er fint’ og fortsætte,« forklarede kontorchef Jesper Vang i august.

Læs også: Datatilsynet: Vi bliver sat skakmat, når myndigheder ignorerer vores kritik

Incitament

I den bedste af alle verdener burde det ikke være nødvendigt med et økonomisk incitament for at få myndigheder til at overholde loven. Men utallige it-skandaler, lækager og kritiske udtalelser fra Datatilsynet vidner om det modsatte.

Selv Rigspolitiet følger strategien. I juni kom det frem, at Rigspolitiet i snart otte år har gemt på hundredtusindvis af fingeraftryk, der ifølge loven skulle være slettet for længst. Det samme gælder i øvrigt data fra nummerpladegenkendelse-systemet ANPG, hvor såkaldte no-hits i udgangspunkt bør slettes efter 24 timer, men rutinemæssigt opbevares i 30 dage.

Det synes dermed evident, at de ‘mærkbare konsekvenser’ vil falde på et ganske tørt sted.

Men som ordet dilemma antyder er bøde-diskussionen mere kompleks end som så. For hvis en bøde hiver penge ud af driftsbudgettet, har myndigheden alt andet lige færre penge til at udføre den opgave, den nu engang er sat i verden for at løse.

Dette gælder for så vidt både den kommunale hjemmepleje, politiets bandeindsats og hospitalernes kræftbehandlinger.

Loven kan altså effektivt betyde, at borgeren betaler prisen, når kommunen lækker selvsamme borgers data.

Læs også: Rundspørge: It-professionelle vil give myndigheder bøder for datasjusk

Det er er ofte på dette tidspunkt i diskussionen, at nogen begynder at argumentere for personligt ansvar - altså bøder til individer som fx ledelsen i en region. Denne model har andre udfordringer.

Først og fremmest er dette ikke en del af GDPR-teksten, der entydig taler om “public authorities and bodies established in the Member State”. Straf til individuelle er i givet fald et separat lov-spørgsmål. Dertil kommer, at offentlige chefer ville stå dårligere end deres private modparter, og man kan argumentere for, at det får konsekvenser for, hvor de dygtige chefer søger hen.

Når det kommer til den løsning, som justitsminsteren efter betænkningstid er kommet frem til, er det nye spørgsmål, om de 16 millioner blinker i neon-rødt for kommunalchefens nethinde, når der lægges budget. Med andre ord: om bøde-truslen vil være tilstrækkelig afskrækkende til at ændre på årevis af underprioritering af datasikkerhed.

Hvad mener du? Er bøder til det offentlige den korrekte beslutning?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll
  • 10
  • 2
Hans Schou

Det giver ingen mening at give en offentlig myndighed bøder. Hvis det fx er en kommune der overtrådt en lov, så skulle kommunens borgere dække udgiften bøden?`Først er de stakkels borgere udsat for et overgreb ved at der er passet dårligt på deres data, og dernæst skal de så også betale en bøde.

Sanktioner er den eneste rigtige beslutning.

  • 5
  • 6
Thorbjørn Nielsen

Sanktioner er måske en løsning, men hvordan vil det ikke også have en effekt for borgeren?

I forvejen er det offentlige ikke lønførende, og hvis der konsekvent truttes i advarselstrompeten (med trussel om en sanktion) vil det uværgeligt tage fokus fra kerneopgaver, gå ud over serviceniveau og - hvis helt galt - sikre, at kun de dårlige ledere bliver i kommunen.

I mange andre sammenhænge har man forsøgt at bevæge sig væk fra en nulfejlskultur, da det har vist at være ufrugtbart - både for produktion og arbejdsmiljø.

Så hvordan sanktionerer vi sikkerhedsbrølere uden at det går ud over serviceniveau?

  • 2
  • 2
Simon Mikkelsen

Så hvordan sanktionerer vi sikkerhedsbrølere uden at det går ud over serviceniveau?

Du skriver at det offentlige ikke er lønførende, men at gøre datasikkerhed til en del af de offentlige lederes bonusmål synes jeg er en god idé. I dag sidder de netop og laver regnestykket: Her kan jeg spare og det koster intet. Så kan jeg bruge flere penge på at opnå det mål der giver mig bonus. Hvis manglende overholdelse af GDPR betyder at bonussen ryge, vil der komme et helt andet fokus. Måske endda mere end hvis afdelingen bare får en bøde.

  • 13
  • 2
Bjarne Nielsen

To kommentarer:

  1. Personlige sanktioner vil blive indregnet i lønforventningerne. Det vil gøre offentlige ydelser dyrere uden at give nogen form for sikkerhed.
  2. At passe godt på borgerne har en pris. Uden bøder, så er det gratis at være ligeglad. Kun med bøder vil sikre løsninger være konkurrencedygtige.
  • 4
  • 0
Jan Juul Mortensen

Bøder giver ikke mening for, hvem er det man straffer i sidste ende, netop de borgere de via deres skatter har betalt for de offentlige ydelser, bøder er en reel trussel imod velfærdssamfundet som vi kender det i dag.

Personlige straffe til de ansatte herunder dataansvarlig, systemejer, dataejer, direktør(er), offentlige ledere med videre er heller ikke nogen mulighed, da dette vil have indflydelse på enten disses lønniveau eller, hvilken kandidater man kan få ansat.

Det bedste forslag er, at udnytte den eksisterende lovgivning og idømme de ansvarlige politikere dagsbøder, og de behøves ikke være større end for eksempel kr. 1.000,00 pr. dag til problemet er løst. Så lave bøder til så få politikere vil selv om disse skal have lidt mere i løn ikke betyde vilde ændringer i de offentlige budgetter, men have en kraftig effekt både på prioriteringen af sikkerheden omkring persondata og, hvis uheldet er ude vil der ske noget meget hurtigt, direktionen vil hurtigt stå skoleret og tiltag iværksat.

Nogen bedre forslag?

  • 3
  • 5
Povl Hansen

Som eksempel, alle informationerne på børnene og deres forældrene i Børnehuset Myretuen ligger offentligt tilgængeligt

Kommunen får en bøde

Kommunen lukker Børnehuset Myretuen , fordi der nu ikke er penge til af drive det

Så er forældrene blevet dobbelt straffet, først med offentliggørelsen, og derefter med manglende pasningsmulighed

Gad vide hvordan dette bliver ført ud i virkeligheden

  • 3
  • 3
Peter Hansen

Det giver ingen mening at give en offentlig myndighed bøder. Hvis det fx er en kommune der overtrådt en lov, så skulle kommunens borgere dække udgiften bøden?`Først er de stakkels borgere udsat for et overgreb ved at der er passet dårligt på deres data, og dernæst skal de så også betale en bøde.

Sanktioner er den eneste rigtige beslutning.


Du kan godt lide at gentage dig selv uden at blive klogere i debatten, hva'?

I hvert fald skrev du præcis det samme d. 29. august:

Postulat: Man kan ikke give offentlige myndigheder en bøde, fordi de så bare skal have større budgetter næste år, eller tilbyde ringere service.

Allerede den gang fortalte jeg dig, hvorfor du ikke havde ret, men jeg gentager det gerne i et forfængeligt håb om, at argumenter betyder noget.

Dit naive postulat kunne måske være korrekt, hvis du vil fastholde, at det er "ringere service", at DR holder op med at

1) Give deres direktører fratrædelsesgodtgørelser på 2 mio. kr.
2) Bruge milliarder på at sende fjernsyn via 6 luftbårne kanaler i en tid, hvor Netflix kan gøre det samme for en tiendedel af udgiften
3) Betale millioner for at transportere heste over atlanten

Dit naive postulat kunne måske også være korrekt, hvis ikke det var fordi

4) SKAT har vist, at det offentlige går glip af milliarder i indtægter ved en forfejlet inddrivelse

Pointen med det ovenstående er at demonstrere over for de selvbestaltede vulgær"eksperter" i offentlig ledelse, at der er MASSER af muligheder for at effektivisere arbejdsgange og driftsbudgetter i det offentlige, hvorfor man sagtens kan give myndighederne bøder for overtrædelse af persondatalovgivningen.

Du svarede selvfølgelig aldrig på mit indlæg og så det sikkert heller ikke. Det gjorde Jørgen Elgaard Larsen derimod, som fremførte følgende modargument:

Hvis ledelsen af en offentlig virksomhed ikke magter at følge persondataloven, kan man ikke være sikker på, at de vil være i stand til at udvælge de rette steder at spare efter en bøde.

Hvortil jeg svarede følgende:

Naivt udsagn taget i betragtning hvor mange kommuner, der hvert år overtræder persondataloven.

Andre debattører har allerede ganske fint påpeget, hvordan "bøderne" i budgetloven fra 2014 har ført til, at der ikke er en eneste kommune, der i dag overskrider budgetterne. Og der er bøderne slet ikke individuelle, men derimod penge, der tages lige ud af budgettet. Så den naive retorik om, at det bare bliver skatteyderne, der kommer til at betale for en bødeordning, overser fuldstændigt, at det allerede er påvist empirisk, at kollektive bødeforanstaltninger er en særdeles effektiv måde at regulere adfærden hos offentlige myndigheder og deres ledere/politisk ansvarlige.

  • 6
  • 5
Anne-Marie Krogsbøll

Jeg kan se både for og imod for begge løsninger. Men personlige sanktioner behøver vel ikke udelukke, at der også gives bøde til institutionen - som så kan båndlægges til tvungen gennemførelse af de nødvendige sikkerhedstiltag?

Måske skal bødestørrelser simpelthen svare til, hvad det vil koste at få sikkerheden i orden + evt. erstatning til ramte, og sikkerhedstiltagene skal tvinges igennem af en central instans - og oven i skal der være personlige sanktioner i de tilfælde, hvor det kan påvises, at der helt bevidst er taget beslutninger, der nedprioriterer sikkerheden?

Jeg tror simpelthen ikke, vi kommer dårlig sikkerhed til livs, hvis ikke det har en personlig konsekvens af en eller anden art. Det er rigtigt, at nulfejlskultur ikke er produktivt - der skal være plads til almindelige menneskelige fejl. Men helt bevidste beslutninger er jo ikke "fejl" i den forstand. Når Datatilsynet gang på gang kan påvise store fejl og mangler, så skyldes det jo ikke almindelige menneskelige fejl, men derimod bevidste beslutninger, hvor man fravælger sikkerheden, ofte i strid med loven. Det må man stå til ansvar for et eller andet sted i systemet, ligesom læger må stå til ansvar for, hvis de sjofler patientens sikkerhed - og hvis man ikke vil det, så må man for min skyld gerne smutte til det private.

Læger, sygeplejersker, buschauffører kan jo ikke i en lønforhandlingssituation argumentere med, at hvis de skal overholde reglerne, så koster det altså ekstra lønkroner - og Gud ske lov for det.

  • 3
  • 2
Peter Stricker

Overskriften og hele artiklen lægger op til, at sanktioner for datasjusk vil gå ud over patienterne.

Der argumenteres nærmest for, at det kun vil være i det øjeblik, at det uddeles bøder, at det vil gå ud over patienterne.

Har Pia Færch slet ikke fattet baggrunden for GDPR?

  • 5
  • 0
Jan Sørensen

Det er absurd at inddrage alle (andre) offentlige opgaver i debatten om bøde for datasjusk. Resonnementet vil i så fald være, at vi alle skal være ligeglade med vores private data, når bare fertilitets-, og gigt-programmer får de nødvendige midler... det er da absurd!
Altså; skæg for sig og snot for sig! Hvis de offentlige databehandlere sjusker med borgernes data, skal de -i lighed med private (dog potentielt væsentlig billigere) kunne straffes for deres sjusk eller manglende overblik, eller hvad der nu måtte være årsag til kompromiteringen.

  • 5
  • 0
Mogens Rasmussen

Fint med bøder, men det rammer jo folk, der derved får ringere service for deres penge, da pågældende etat må punge ud og bliver dermed mindrebemidlet.
Hvad med en kombination, hvor man belønner den institution, der har god datasikkerhed og gør noget herfor, så her er meget få fejl eller ingen, og hvis det så alligevel sker, så bliver det de respektive ledere, der må til lommern, ligesom de under alle omstændigheder må, hvis der sjuskes..
Jeg mener at et sådant system vil tilgodese dem, der tager datasikkerhed alvorligt, og vil straffe dem, der sjusker.

  • 2
  • 3
Kjeld Flarup Christensen

Argumentet mod at lade private drive offentlige opgaver er tit at det ikke kan være rimeligt at private kan tjene penge på velfærden. Altså det offentlige drives som et non profit foretagende, hvor der ikke er plads til bøder på budgettet.

Derfor er der givetvis heller ikke plads i budgettet til at sikre IT mod datasjusk. Men der er sikkert altid plads til at pege fingre ad folk som hverken har kompetencerne eller ressourcerne til at lave IT ordentligt.

Bottom line er, at der skal afsættes penge til datasikkerhed på budgetterne, men velfærdsstaten har jo i forvejen problemer med at opkræve nok penge i skat til at finansiere alle velfærdsønskerne, og så kan man jo godt sige at "det kommer til at gå ud over kræftpatienterne".

Der er god grund til at sætte spørgsmålstegn ved overhovedet at drive ting offentligt. Normen er dog at der i stedet ikke stilles spørgsmålstegn ved offentlig drift, fordi det jo er i vores fælles bedste.

  • 1
  • 1
Povl H. Pedersen

Hvis argumentet er, at en bøde giver mindre kræftbehandling, så er det vel også et argument at IT Sikkerhed i første omgang giver mindre kræftbehandling. Og det faktum at man ikke sælger alle danskeres sundhedsdata giver endnu mindre kræftbehandling.

Der skal være styr på sikkerheden. Og hvis der ikke er det, så må der rulle hoveder, og det skal koste, så man ikke bruger sikkerhedspengene på andre ting.

  • 4
  • 0
Gert Madsen

I forvejen er det offentlige ikke lønførende, og hvis der konsekvent truttes i advarselstrompeten (med trussel om en sanktion) vil det uværgeligt tage fokus fra kerneopgaver,


Ikke i alle tilfælde i hvert fald.
Politiets kerneopgave er vel at sikre at landets love overholdes - for nu at nævne et tilfælde, hvor det er utroligt at loven kan brydes, uden at der ruller hoveder.

  • 0
  • 0
Timo Jensen

Der er ingen tvivl hos mig om, at de kommunale IT-budgetter er små. Jeg lærte engang en tommelfingerregel der sagde at man kunne regne med at ca. 10% af driftsbudgettet i en større virksomhed, skulle gå til IT. Der er det offentlige langt bagud, og det er sjældent sikkerheden der trækker budgettet op. Ledelsen ser ingen resultater af sikkerhed. Det er mit indtryk at vidensbaserede virksomheder er meget opmærksomme på sikkerhed. Det er trods alt deres eksistensgrundlag, at holde viden for sig selv, indtil den skal/kan bruges åbent.

Min store frygt med disse bøder er at der fremover vil blive overbudgetteret. Nu kan IT-chefen med GDPR i ryggen, bede om flere penge til næsten hvad som helst. For lad os se det i øjnene, sikkerhed er også investeringer i hardware og software. Ikke blot en ny firewall og et opdateret antivirusprogram. Skulle nogen få den tanke at en ledelse skulle gøres personligt ansvarlige, hvordan mon så budgetterne vil se ud?

I en kommune hvor der i år var 3.5 mio. kr at rutte med til de politiske sager, vil en bøde på 16 mio kr. være katastrofal.

  • 0
  • 0
Kjeld Flarup Christensen

Der er det offentlige langt bagud, og det er sjældent sikkerheden der trækker budgettet op.


Det må jo så være noget at det, som gør det svært at udlicitere offentlige opgaver, hvis private alternativer skal konkurrere med offentlig underbudgettering.
Det ødelægger muligvis også den sammenligning af kommuner som Cepos laver for at finde ud af hvilke kommuner er billigst.

Privatiser opgaverne, så bøderne ikke rammer det offentlige men private udbydere. Private der så har styr på det der med IT kan så score kassen, til glæde for borgernes retssikkerhed.

  • 0
  • 0
Bjarne Nielsen

Privatiser opgaverne ...

Nu kommer Timo fra Venstre, så han er næppe princippielt uenig med dig, men jeg læste nu mere hans indlæg som en kommunalpolitikers suk over, at han hverken havde råd til at passe ordentlig på sine borgere eller råd til at betale bøderne, hvis det gik galt.

Og at der ikke skulle være råd til at gøre det ordentligt ændrer en evt. udlicitering ikke på.

  • 1
  • 0
Jesper Frimann

Selvfølgelig skal offentlige myndigheder ikke give bøder til sig selv, hvis de sjusker.
Der kan selvfølgelig blive tale om kompensation under en eller anden form for de forudrettede. Men her tænker jeg mere på, at det offentlige 'stepper op' og rydder op efter et potentielt rod de har lavet i en eller flere borgeres liv.

Men det giver jo ikke mening, at vi som borgere (ejere af det offentlige) skal straffes med dårligere service, hvis det offentlige sjusker og skader os ved at 'lække vores data', eller på anden måde overtræder GDPR.

Løsningen er som med alt andet.. det skal have konsekvenser. Det har det jo ikke i dag.
F.eks. hvor mange af dem, der havde ansvar for de af rigspolitiets systemer, der blev hacket, er blevet stillet til ansvar ?

// Jesper

  • 1
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize