Danske bøder for datalækager skraber bunden

EU truer med bøder i milliardklassen til virksomheder, der lækker fortrolige data.

25.000 kroner. Sådan lyder den højeste bøde, en dansk virksomhed er blevet præsenteret for efter at have lækket borgeres fortrolige data.

Dermed hører de danske bøder til i miniputklassen i EU, hvor lande som Storbritannien og Holland går anderledes radikalt til værks over for sjusk med persondata.

De danske it-ingeniører, som er med til at skrive de it-systemer, hvorfra oplysningerne slipper ud, finder da også straffen for at bryde loven for mild. Hele 79 procent af medlemmerne af fagselskabet IDA-it erklærer sig i en undersøgelse udført af Ingenørforeningen for Ingeniøren helt eller delvist enige i, at Datatilsynet skal have ’skrappere sanktionsmuligheder’ – et synspunkt, som der er bred opbakning til:

Læs også: It-ingeniører: Giv Datatilsynet mere magt til at kontrollere os

»Der skal føres væsentligt bedre kontrol med virksomhederne. Hvis det ikke koster noget videre at undlade at få styr på sikkerheden, så lader virksomhederne være,« konstaterer direktør Per Andersen fra Dansk IT, som er et netværk for it-professionelle.

Det samme mener den social­demokratiske it-ordfører, Karin Gaardsted:

»Man skal have én over nallerne, hvis man begår graverende fejl, og det kan være i form af bøder,« mener hun.

Formanden for Rådet for Digital Sikkerhed, Birgitte Kofod Olsen, henviser til, at EU er på vej med nye persondataregler, som opererer med helt andre bødestørrelser, nemlig fem procent af syndernes globale omsætning. Det løber op i milliardklassen for de største virksomheder.

»For små virksomheder kan 25.000 kr. godt have en betydning, men ellers er det jo i dag en bøderisiko, som virksomhederne godt kan håndtere,« som hun udtrykker det.

De nye regler bliver en forordning, hvilket vil sige, at de får direkte i retsvirkning i alle lande fra det øjeblik, forordningen er vedtaget. Endnu har forordningen dog et godt stykke vej tilbage, før den er gennem EU- systemet, men der er ingen grund til at vente med at uddele bøder, som virksomhederne kan mærke, mener Rådet for Digital Sikkerhed.

»Holland er i gang med at vedtage et lovforslag om, at man skal indberette sikkerhedshændelser til landets datatilsyn, og hvis man ikke indberetter sikkerhedshændelser, kan man få bøder på op til 810.000 euro,« siger Birgitte Kofod Olsen.

»Vi kan lige så godt gå i gang, så Datatilsynet er klar til at løfte opgaven,« tilføjer hun.

Brug bøderne på Datatilsynet

I dag kan Datatilsynet kun magte at behandle de ansøgninger, der kommer ind, fremhæver Per Andersen fra Dansk IT.

»Vi synes, at der også skal være ressourcer til opsøgende kontrol­arbejde, så derfor kan de penge, der kommer ind i bøder, passende bruges på Datatilsynet,« siger han.

Selv Dansk Industris it-gren, Itek, mener, at Datatilsynet i dag er for svagt:

»Det bør styrkes med øgede ressourcer, så det bl.a. kan rådgive virksomhederne om, hvordan reglerne skal fortolkes,« siger branchedirektør Adam Lebech.

Itek er åben over for, at der kan være behov for højere bøder end de nuværende danske for at sjuske med data:

»Men der skal være proportiona­litet i det,« siger Adam Lebech.

Med det mener han, at en virksomhed ikke skal risikere en milliardbøde for en lille forseelse i et enkelt medlemsland. Desuden skal der også være sanktioner over for offentlige myndigheder, der bryder reglerne.

»Bødestørrelser som dem, EU-Kommissionen drøfter, fører ikke til en styrkelse af datasikker­heden,« argumenterer branche­direktøren.

Modsat Dansk IT er Karin Gaard­sted ikke sikker på, at Datatilsynet har brug for flere ressourcer. Hun påpeger, at tilsynet ganske vist blev beskåret en smule i seneste finanslov, men at tilsynet generelt er blevet oprustet de seneste år.

»Datatilsynet udfører jo sine opgaver i dag. Jeg vil ikke afvise, at der er brug for et stærkere datatilsyn, men så skal vi være meget sikre på, hvad vi vil have mere af. Hvis det er flere stikprøver hos virksom­hederne, så er det klart, at det kræver flere penge,« siger hun.

Det er ikke lykkedes Ingeniøren at få en kommentar fra Venstres it-ordfører, Michael Aastrup Jensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Karin Gaardsted forsøger at dække over hendes og regeringens svigt ved at påstå at Datatilsynet trods nedskæringer og sparerunder fungerer godt nok. Tilsvarende er hun ikke sikker på at Datatilsynet har brug for flere penge. Politikersvigt af værste skuffe efter min mening.
Datatilsynet blev i sidste finansrunde yderligere udsat for nedskæringer og besparelser selvom offentlige myndigheder gang på gang har udvist næsten kriminel adfærd i omgangen med befolkningens personfølsomme oplysninger. Regeringen har tvangsdigitaliseret hele Danmark, men samtidig udhulet bl.a. Datatilsynets muligheder for uddeling af sanktioner. Det ligner en bevidst handling fra regeringens side, så myndighederne m.fl. ikke kan drages til ansvar for deres svigt. Bemærk i øvrigt at der ikke i EU's forslag tales om bøder til offentlige myndigheder der svigter. Det er primært de private virksomheder, der skal straffes.
Løsningen er at Danmark hurtigst muligt etablerer et nationalt cybersikkerheds råd i stil med det hollandske, der er sammensat af såvel offentlige som private aktører samt akademia (7-7-4). Det hollandske råd mødes mindst en gang om ugen for at drøfte bl.a. mulighederne for at sikre befolkningen mod uhensigtsmæssig overvågning og beskyttelse af personfølsomme oplysninger. Den før jul af regeringen udsendte og såkaldte cybersikkerhedsstrategi kan og vil på ingen måde sikre eller tilgodese disse forhold. Nærmest tværtimod. Strategien er hovedsagligt udarbejdet af FE og er på ingen måde en strategi målt efter EU's anbefalinger og standarder eller Bedst Practice

  • 8
  • 0
Bjarne Nielsen

Løsningen er at Danmark hurtigst muligt etablerer et nationalt cybersikkerheds råd i stil med det hollandske ...

Nemlig.

Vi er for det første nødt til at have nogen, som påser at eksisterende regler bliver overholdt, og jeg tror at Datatilsynet er et godt gæt.

Men når vi får det, så er vi altså også nødt til at få en rimelig upartisk, kyndig, besindig og passende potent tredjepart, som kan vurdere om eksisterende regler er fornuftige og tilstrækkelige.

Jeg kender ikke til det hollanske råd, men det lyder umiddelbart interessant.

  • 4
  • 0
Anne-Marie Krogsbøll

Hvor har Gaardsted været hende de seneste 3-4 år? Datatilsynet løser deres opgaver? - har ikke brug for flere ressourcer?

Hvis det ikke er ressourcemangel, der er grunden til, at Datatilsynet ikke fik stoppet DAMD i tide, hvad er så grunden?

Spørgsmålet er, om man fra politisk side overhovedet ØNSKER at stoppe datalæk - for det har jo hele tiden været tanken, at det offentlige skulle vælte sig i indtægter fra det enorme "datalæk" fra praktiserende læger til DAMD. Bare ærgerligt, at det blev opdaget, at der manglede nogle tilladelser.

Hvem tør kræve, at de ulovlige data fra DAMD bliver slettet fra de kæmpestore forskningsprojekter, som er finansieret af Novo Nordisk Foundation (hvis direktør netop er kåret til Dammarks mest magtfulde), og som i høj grad baserer sig på data fra DAMD?

  • 8
  • 0
Christian Nobel

Det virker som hul tale, når man kan vil tale om at virksomheder kan straffes med en bøde, men man ikke vil fokusere på det virkelig store problem, nemlig det offentliges sløsede omgang med data.

Eksempelvis når hofleverandøren kommer til at slippe 900.000 personers CPR oplysninger i det fri, så ender det bare med en løftet pegefinger.

Det er helt ude af proportioner at man truer private firmaer (ikke at jeg dermed kan acceptere deres sløseri) med drakoniske straffe, mens sjuskehoveder som laver langt mere graverende fejl i offentligt regi unddrager sig ethvert ansvar.

Straffe til det offentlige skal være rigtige straffe (efter straffeloven), ikke bøder som alligevel bare tørres af på skatteyderne.

Og leverandører til det offentlige, som svigter deres ansvar (læs CSC), skal udelukkes fra at være leverandør.

  • 9
  • 0
Jakob Møbjerg Nielsen

»Vi synes, at der også skal være ressourcer til opsøgende kontrol­arbejde, så derfor kan de penge, der kommer ind i bøder, passende bruges på Datatilsynet,« siger han.

Er det bare mig, eller lyder det som noget af en glidebane, at kunne tildele sig selv flere ressourcer, ved at udskrive flere eller større bøder?

Ellers er jeg helt enig i at bøderne er latterlige små, især for større firmaer. Så små at de reelt set kan ignoreres fuldstændigt.

  • 5
  • 0
Christian Nobel

Er det bare mig, eller lyder det som noget af en glidebane, at kunne tildele sig selv flere ressourcer, ved at udskrive flere eller større bøder?

Det er jo samme glidebane man har set inden for trafikpolitikken, hvor bøder bruges som et fiskalt instrument, i stedet for præventivt.

Hvor tit hører man ikke en politiker sige:

Nu sætter vi (dumme)bøderne for XXX (sæt selv ind efter forgodtbefindende), hvilket vi regner med kan indbringe så og så mange Villyarder.

Ideelt set er bødestraf først en rigtig succes når de indbringer kr. 0,-

  • 2
  • 1
Henrik Biering Blogger

Straffe til det offentlige skal være rigtige straffe (efter straffeloven), ikke bøder som alligevel bare tørres af på skatteyderne.

Eller direkte erstatningret for ofrene, som en engelsk appelret nu lægger op til (alternativ reference) efter at have underkendt den nationale britiske databeskyttelses-lovgivning som værende i strid med selve Databeskyttelsesdirektivet.

Forståelsen for at læk og misbrug af data i informationssamfundet i sig selv udgør en tort - og faktisk også kan lede til direkte økonomiske tab - breder sig i disse år, hvorved privacy-sager som i dette tilfælde kan behandles efter almindelig erstatningsret.

Selv en meget beskeden erstatning til hvert af de 900.000 Robinson-ofre ville jo blive til et pænt samlet beløb for for myndigheden og dens private håndlanger. Alene gebyrer til e-boks-kommunikation, bankoverførsler m.m. ville løbe godt op.

  • 1
  • 0
Finn Christensen

Straffe til det offentlige skal være rigtige straffe (efter straffeloven), ikke bøder som alligevel bare tørres af på skatteyderne.

Helt uenig med dig.. der findes straffe som virker.

Når det offentlige har læk eller sløser med datasikkerhed, så idømmes de som alle andre proportionale bøder i forhold til hvad og hvor meget. Og størrelsen skal med sikkerhed vække de ansvarlige fra slummeren.

Bortset fra, at bøden hos det offentlige er en permanent reduktion af deres bevilling, ikke en driftsudgift - der minder dem om fadæsen de følgende år.

En bøde trukket af bevillingen er spild af skatteydernes penge, men når de mister bevilling eller personale - så virke det.

  • 0
  • 2
Emil Stahl

I DR’s TV-program “Du bliver overvåget!” konfronterede programværten Nikolaj Sonne Socialdemokraternes IT-ordfører Karin Gaardsted med afsløringerne, og hendes svar lød:

»Man kan frygte krig og sådan noget. Man kan ikke frygte en computer. Hold op!«

Altså, hvis USA kommer flyvende med et bombefly skal vi være bange, men hvis USA blot driver et computer-system, der kan følge med i alle danskeres internet-kommunikation, så er der ingen ko på isen.

Mellem os to… og staten

Programmet "Du bliver overvåget!" kan i øvrigt kun anbefales (det kan ses indtil d. 7. august 2015)

  • 8
  • 0
Log ind eller Opret konto for at kommentere