Bøde-dilemmaet: Skal offentligt datasjusk gå ud over kræftpatienter?
Skal offentlige virksomheder på linje med private kunne straffes med bøde, hvis de sjusker med borgernes persondata?
Spørgsmålet har været et af de store ubekendte i persondataforordningen, siden EU vedtog loven i 2015. Fredag erklærede justitsminister Søren Pape Poulsen, at regeringen nu er klar med et svar - som lyder ‘ja’ til bøder til det offentlige.
Til glæde for blandt andet Dansk IT og Dansk Erhverv, og til mildest talt mindre glæde for kommuner og regioner.
Det er svært at fortænke regeringen i at have brugt langt tid på at komme frem til et svar på spørgsmålet. For det giver unægteligt anledning til en række svære dilemmaer.
Helt konkret skal myndigheder kunne straffes med bøder på op til 4 procent af driftsbudgettet - dog maksimalt 16 millioner kroner - hvis den bryder loven.
De fire procent er hentet direkte fra EU’s GDPR, der sætter bødeloftet til fire procent af en virksomheds globale omsætning
»Overholder man ikke reglerne om databeskyttelse, er det en alvorlig sag, som skal have mærkbare konsekvenser. Derfor har regeringen besluttet, at også offentlige myndigheder skal kunne få bøder, hvis de overtræder reglerne,« skriver Søren Pape Poulsen i en kommentar til Politiken.
Mærkbare konsekvenser er netop, hvad adskillige parter har efterlyst, når det kommer til myndighedernes dårlige datahåndtering. Datatilsynet - som får ansvar for at håndhæve GDPR - har over for Version2 forklaret, at hvis en kommune ikke overholder formaningerne, så er der meget lidt tilsynet kan gøre ved det.
»I princippet kan de bare sige: ‘Det er fint’ og fortsætte,« forklarede kontorchef Jesper Vang i august.
Incitament
I den bedste af alle verdener burde det ikke være nødvendigt med et økonomisk incitament for at få myndigheder til at overholde loven. Men utallige it-skandaler, lækager og kritiske udtalelser fra Datatilsynet vidner om det modsatte.
Selv Rigspolitiet følger strategien. I juni kom det frem, at Rigspolitiet i snart otte år har gemt på hundredtusindvis af fingeraftryk, der ifølge loven skulle være slettet for længst. Det samme gælder i øvrigt data fra nummerpladegenkendelse-systemet ANPG, hvor såkaldte no-hits i udgangspunkt bør slettes efter 24 timer, men rutinemæssigt opbevares i 30 dage.
Det synes dermed evident, at de ‘mærkbare konsekvenser’ vil falde på et ganske tørt sted.
Men som ordet dilemma antyder er bøde-diskussionen mere kompleks end som så. For hvis en bøde hiver penge ud af driftsbudgettet, har myndigheden alt andet lige færre penge til at udføre den opgave, den nu engang er sat i verden for at løse.
Dette gælder for så vidt både den kommunale hjemmepleje, politiets bandeindsats og hospitalernes kræftbehandlinger.
Loven kan altså effektivt betyde, at borgeren betaler prisen, når kommunen lækker selvsamme borgers data.
Det er er ofte på dette tidspunkt i diskussionen, at nogen begynder at argumentere for personligt ansvar - altså bøder til individer som fx ledelsen i en region. Denne model har andre udfordringer.
Først og fremmest er dette ikke en del af GDPR-teksten, der entydig taler om “public authorities and bodies established in the Member State”. Straf til individuelle er i givet fald et separat lov-spørgsmål. Dertil kommer, at offentlige chefer ville stå dårligere end deres private modparter, og man kan argumentere for, at det får konsekvenser for, hvor de dygtige chefer søger hen.
Når det kommer til den løsning, som justitsminsteren efter betænkningstid er kommet frem til, er det nye spørgsmål, om de 16 millioner blinker i neon-rødt for kommunalchefens nethinde, når der lægges budget. Med andre ord: om bøde-truslen vil være tilstrækkelig afskrækkende til at ændre på årevis af underprioritering af datasikkerhed.
Hvad mener du? Er bøder til det offentlige den korrekte beslutning?
