Dansk EU-chef vil have bødestraf for datasjusk

Illustration: leowolfert/Bigstock
En dansk Europol-chef vil have hårdere sanktioner for sjusk med følsomme data. Det mener han er nødvendigt, hvis virksomheder og andre skal forstå vigtigheden af det.

Troels Ørting, der er chef for europols center for bekæmpelse af cyberkriminalitet, vil have hårdere straffe til virksomheder og andre, der sjusker med borgeres private data. Det skriver Børsen.

Troels Ørting er bekymret for danskernes data-sikkerhed, og han mener ikke, at Danmarks milde krav til sikkerhed hos virksomheder og myndigheder står mål med udviklingen på området. Han vil have hårdere sanktioner ved sjusk og peger på, at det har virket i udlandet.

»Jeg kan godt forstå, at man helst vil forsøge at danne noget konsensus og gensidigt forpligtende aftaler. Men erfaringen viser, at det som regel først er, når der kommer konsekvenser i lovgivningen, at truslerne tages alvorligt,« siger Troels Ørting. Han tilføjer, at andre lande som Tyskland og England giver store bøder til virksomheder og organisationer, hvis deres sikkerhed ikke holder stand.

Troels Ørtings udmelding kommer som reaktion på endnu ikke offentliggjorte tal fra Datatilsynet. De viser, at antallet af sikkerhedsbrister stiger støt. I årene 2003 til 2007 var der tale om et skønnet gennemsnit på 20 sikkerhedsbrister, mens der alene i 2013 har været 80 faktiske sager om brud på datasikkerhed.

Danmark blokerer for EU-regler

Danmark er et af flere lande, der har været med til at blokere for et forslag om en opdatering af reglerne for databeskyttelse på EU-niveau.

Regeringen har udtrykt enighed i, at reglerne har brug for en overhaling, men man har vurderet at de administrative omkostninger var for store. En konklusion som KL bakker op, ligesom Kontorchef Karsten Thystrup kalder forslaget bureaukratisk og dyrt.

Hos Forbrugerrådet er man ærgerlig over, at forslaget bliver blokeret.

»Danmarks regler for databeskyttelse stammer tilbage fra sidst i 90'erne, hvor der ikke fandtes elektroniske medcinregistre, offentlige e-post eller sociale medier. De trænger derfor til en gevaldig opgradering,« siger Anetet Høyrup, der er Chefjurist hos forbrugerrådet TÆNK, til Børsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Sæt bøden til et sindsygt højt milliardbeløb.
Så venter vi bare på det næste CSC læk eller anden offentlig instans som får brudt ind i deres systemer og BUM! :)

Men nej, de er selvfølgelig fritaget, fordi sådan går det jo (desværre) altid... Nej desværre, så er jeg faktisk ikke så glad for det her. Jeg er helt enig i at vi skal tvinge datasikkerhed ned i halsen på virksomhederne, men samtidigt frygter jeg lidt vores sædvanlige bureaukratiske bødekultur - For hvordan vil man påvise at at virksomheden har udvist grov uagtsomhed i sin datasikkerhed? For det mener jeg altså er nødvendigt. Hvis det er en helt basal SQL injection på din forside som har forudsaget adgang til en ukrypteret MySQL database fyldt med kreditkort-numre så fint, giv dem milliardbøden! Men hvis det er et 0-day exploit i et eller andet vitalt som en flok (stats-ansatte) professionelle kinesere har fået forbi en ordentlig firewall osv. så skal man altså ikke have hug for det.. Det kan ske for alle.

Der ud over:
Troels Ørtings ønsker større IT Sikkerhed, men samtidigt er han den person jeg konstant kan læse ønsker at snage i alle andres data? Hvordan kan det hænge sammen? Manden pev jo direkte over tanken om at flere mennesker brugte kryptering. Er det ikke hvad han lige har sagt han ønsker?
Med al respekt for den mand, så frygter jeg lidt at han er endnu en af de politiker-typer som udtaler sig i medierne i alle mulige retninger, uden egentlig at have alt for meget at holde det i:
http://www.linkedin.com/pub/troels-oerting/4/a82/a7a
Han er uddannet ved FBI og har stor erfaring inden for ordensmagten + han har læst "International criminal justice" ved Portsmouth universitetet. Men ingen af de referencer eller uddannelser han har listet på sin Linkedin fortæller mig at han har så meget som bare åbnet en bog omkring IT? Og så er han chef for Europols center for bekæmpelse af cyberkriminalitet. Det er flot!

  • 4
  • 0
Gert Madsen

For hvordan vil man påvise at at virksomheden har udvist grov uagtsomhed i sin datasikkerhed?


Man kan evt. gøre som med arbejdsulykker, og lastbilers fartoverskridelser, hvor man har et objektivt ansvar med tilhørende bøde.

Dvs. hvis der sker en læk af følsomme data, så er sikkerheden pr. definition ikke god nok, og der falder en bøde.
Det kan feks. motivere til at man ikke kun har et lag af sikkerhed.
Det skal ikke kunne betale sig bare at smide en PC på nettet uden anden sikkerhed end de faste Windows opdateringer.

Samtidigt kan man håbe på at det begrænser registreringsliderligheden.
Man kan kun miste data man rent faktisk har registreret.

Hvis det så viser sig at man har været uagtsom, så øges straffen.

  • 1
  • 0
Henrik Pedersen

Problemet er at de to ting ikke kan sammenlignes. Der kommer ikke nye "uforudsigelige ulykker" hver dag på arbejdspladsen som er svære at tage højde for, i hvert fald ikke i samme omfang som IT branchen.

IT sikkerhed er en svær størrelse og den er svær at få lavet helt perfekt. Der er altid ét eller andet der kan slippe igennem lige gyldigt hvor meget din leverandør praler med sikkerheden.

Men så igen, dit forslag er rimeligt så længe bødestørrelserne er rimelige - og så kan vi altid skærpe og slå hårdere når folk har været virkelig dumme.

  • 1
  • 0
John Foley

Begynd med at feje for egen dør i stedet for. Rigsrevisionen har for nylig påpeget, at bl.a Statens-IT, Politiet og Dansk Serum Institut ikke har passet godt nok på befolkningens tvangslagrede personfølsomme data. En undersøgelse af alle de andre offentlige sektorer m.fl. ville uden tvivl igen afsløre myndighedernes fortsatte svigt og manglende ansvarsfølelse for oplysningerne i deres varetægt. Men det har desværre ingen konsekvenser. Er det en borger eller en virksomhed skal der falde brænde ned i form af bøder og anden strafefter Ørtings mening. Det er dobbeltmoral så det batter Troels Ørting.

  • 3
  • 0
John Foley

Bøder og straf til offentlige myndigheder betales af skatteborgerne og ikke af en myndighed. Det sker bare ikke, og det ved Troels Ørting også udmærket, idet han hele sit liv har været en del af embedsværket. Han er alene ude efter virksomhederne og borgerne, jf. hans tidligere holdning om at krypteret mails m.v. skal åbnes, så myndighederne kan få adgang til sensitive oplysninger. Bemærk i den forbindelse, at Rigsrevisionen for nylig stærkt kritiserede Statens-IT, Politiet og Statens Serum Institut for voldsom svigt med it-sikkerheden, og dermed kompromitterede befolkningens personfølsomme oplysninger i myndighedernes varetægt. Resultat og reaktion? Ingen nævneværdig og da slet ikke en bøde eller straf.

  • 3
  • 0
Gert Madsen

Bøder tages ud af det eksisterende budget, og har da vist sig virksomt i forhold til kommunernes forbrug.
Ellers har du nok ret i at myndighederne næppe rammes.

En lov kan dog godt udformes, så enkeltpersoner hos myndighederne kan straffes.
I hvert fald hvis de optræder uansvarlige/uagtsomme.

  • 0
  • 0
John Foley

Selvom en kommune evt. skulle få en bøde tages pengene alligevel fra borgernes lommer(dvs. dobbelt straf). Det er ikke den enkelte embedsmand eller sagsbehandler på rådhuset der rammes personligt. Det er korrekt, at der findes love og bekendtgørelser, der kan straffe enkeltpersoner, hvis der optrædes uansvarligt/uagtsomt. Men ... det sker bare ikke, se blot på den verserende sag med embedsmændende i Udenrigsministeriet, der kun medfører alvorlig påtale. Men tak for præciseringen Gert, men jeg fastholder, at myndighederne og andre offentlige institutioner vil ikke blive ramt, hvorimod enkeltpersoner og virksomheder kommer til at punge ud i stor stil såfremt Troels Ørting får sit forslag igennem. Politikerne har ingen hæmninger, så snart det drejer sig om at inddrive flere penge. Bare der kommer flere penge i kassen, så er sagen mindre relevant,der skal bare være en "god undskyldning", se f.eks. solcellesagen og ejendomsvurderingsagen. Og der kunne sikkert nævnes mange andre eksempler på politikernes fejlslagne inddrivelsesmetoder.

  • 0
  • 0
Gert Madsen

Som det påpeges ovenfor vil den slags love først og fremmest ramme private virksomheder, ligesom Troels Ørtings øvrige meritter, kan give anledning til tvivl om hans motiver.

Men alt som kan give en forbedring i forhold til den himmelråbende ligegyldighed vi ser overfor folks personlige oplysninger skal hilses velkommen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere