Det har ikke skortet på kritikpunkter, når Datatilsynet i de sidste år har gæstet danske kommuner og myndigheder.
Alene i 2016 blev 16 kommuners datasikkerhed gået efter i sømmene, og her fik fire kommuner det alvorlige stempel ‘meget kritisabelt’ med på vejen fra tilsynet.
Men trods de store ord giver besøg fra Datatilsynet ikke altid mere respekt for borgernes persondata, fortæller kontorchef i Datatilsynet Jesper Vang.
»Langt de fleste vil gerne høre det, vi siger, og rette op. Men der er også nogle få brodne kar, der kan virke ligeglade med vores anbefalinger,« siger han og fortsætter:
»Og så bliver vi i dag sat skakmat.«
Lover bod og bedring
Ifølge Jesper Vang har man ikke statistik på, hvor ofte myndigheder ignorerer kritikken fra Datatilsynet.
Men tilsynet har for eksempel haft sager, hvor kommuner gentagnr gange har sendt fortrolige eller følsomme personoplysninger i ukrypterede mails, og hvor kommunen lover bod og bedring, men ikke ændrer praksis.
Læs også: Datatilsynet bliver glemt af regeringen
»Der mangler vi et magtmiddel som tilsyn,« understreger Jesper Vang.
»Nogle gange kan vi få en fornemmelse af, at der sidder en forvaltningschef, som ikke rapporterer videre til kommunalbestyrelsen. I disse situationer har vi somme tider valgt at sende vores udtalelser direkte til kommunalbestyrelsen, så vi er sikre på, at de bliver bekendt med problemerne,« fortsætter kontorchefen.
Borgmester: Sådan er det bare
Heller ikke den strategi giver altid gevinst, fortæller Jesper Vang.
»En enkelt gang har vi fået et svar fra en borgmester, der skrev, at der ikke var noget at gøre ved det. Og der kan vi så ikke gøre noget, fordi vi ikke har noget magtmiddel.«
»I princippet kan de bare sige: ‘Det er fint’ og fortsætte,« tilføjer kontorchefen.
I yderste instans kan Datatilsynet forsøge at få det ansvarlige ministerium til at skrue bissen på – f.eks. ved at gå til Indenrigsministeriet, hvis der er store dataproblemer i en kommune.
»For nogle år siden havde vi en del sager med universiteter, der brød persondataloven, og der skrev vi til sidst til forskningsministeriet og bad dem om at tage en snak med universiteterne,« fortæller Jesper Vang og fortsætter:
»Men det er et problem. Der mangler en prioritering af det her område ude i mange myndigheder, og det kunne der måske komme, hvis vi havde mulighed for at give dem et bedre incitament.«
Diskussion om bøder udskudt
EU’s persondataforordning, der træder i kraft i maj næste år, lægger op til, at offentlige myndigheder – på linje med virksomheder – kan straffes med bøde for datasjusk.
Bødemuligheden er dog valgfri for medlemslandene. Og derfor bliver det op til Folketinget at vedtage eventuelle bøder, når forordningen skrives ind i dansk lov.
I første omgang er diskussionen sparket til hjørne. I regeringens første udkast til lovteksten står der ved pargraf 41, stk 5:
»Stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår.«
Datatilsynet har ingen officiel holdning til spørgsmålet om bøder. Hvad der præcis skal til, vil Jesper Vang ikke tage stilling til, men han siger dog:
»Bøder kan være en mulighed for at få dem, der ikke vil, til at overholde reglerne, men der kan sikkert også være andre muligheder. Det er i sidste ende en politisk beslutning.«
Næste gang nogen fra officiel side bedyrer, at vi ganske roligt kan overlade dem rådigheden over vores privatliv, for Danmark passer afsindigt godt på vore private data (vel nærmest bedst i verden), så griber man i sin lomme og fremdrager denne artikel og læser den op for vedkommende.
Det burde kunne lukke munden på sådanne uvederhæftige (medicinalindustri) lobbyister og andre med lignende totalitære dagsordener.
De partier der vil indføre bødestraf til offentlige myndigheder.
Hvis der er flere, vælger jeg et af dem og stemmer på dem ved næste valg.
Altså at staten tager penge fra sig selv som straf? Jeg tænker mere, at man skal giver bøder eller lign. til dem der er ansvarlige. Man kan vel starte med at sørge for, at de ikke får bonus, som de sikkert har fået lovning på ifbm. en given digitalisering :-)
Tro mig, et system, som er top-trænet til kassetænkning, vil reagere hurtigt på, at penge flyttes fra en kasse til en anden.
Ja, det gør det.
Staten og kommunerne giver kun øremærkede penge til forskellige projekter. Hvis et projekt har et IT problem, så skal projektet selv betale. Hvis de får en bøde vil de penge også blive taget fra projektet. Og så bliver det svært at nå de resultater de gerne vil nå. Hvis et projekt får en bøde på 10 mill, så skal de faktisk fyre 20 medarbejdere.
Hvis jeg skal forestille mig en budgetforhandling i et kommunalt udvalg, som handler om hvordan et projekt har brugt af udvalgtes penge, som er givet til udvalget af kommunen, som er givet til kommunen af staten, som er givet af folket. Her bliver det træls at forklarer at projektet skal have flere penge, fordi projektet skal betale en bøde til datatilsynet igen i år. Fordi staten sender ikke flere penge til kommunen af den grund. Og kommunen sender ikke flere penge til udvalget af dem grund. Udvalget vil måske overveje om det der IT projekt overhovedet skal overleve eller hvordan det kan gøres billigere.
Bøder giver mening, hvis man udnytter den mulighed der er i nuværende lovgivning for, at tildele politikkere tvangsbøder. Tildel nærmeste politiske led f. eks. en kommunal bestyrelse eller et regionsråd dagsbøder på kr. 1.000,00 pr. individ indtil problemet er løst. Jeg er helt sikker på, at det vil betyde omgående handling, på trods af beløbets størrelse.
Bøder fikser ikke dårlig software...
Tag f.eks. problemet med ukrypterede emails, hvis vi nu krypterede alle emails så var det ikke et problem mere. Istedet forsøger man at lærer folk hvad de må og ikke må sende per mail...
(email er bare et eksempel på software systemer der skal tænkes lidt om)
Den naive snak om bøder til politikere og embedsmænd bør stoppe. For det første vil det bare føre til, at embedsmænd og politikere tegner en ansvarsforsikring, som de herefter kræver godtgjort de løbende udgifter til via lønforhandlinger og for det andet er der ikke hjemmel i GDPR til at udstede administrative bøder til personer, hvis de ikke står opført som dataejere eller -behandlere. Generelt er det myndigheden, der står opført som dataejer og ikke en specifik person. Det kan man selvfølgelig vælge at lave om på, men det kommer til at give en mærkelig trafik af registreringer, når folk skifter job:
https://gdpr-info.eu/art-83-gdpr/
Via tjenestemandslovgivningen kan der udstedes bøder til individer, hvis de har begået en tjenestemandsforseelse, men de færreste embedsmænd i administrative stillinger nu til dags er ansat på tjenestemandsvilkår.
Det er derimod en rigtig, rigtig god idé - ikke mindst i lyset af ovenstående udsagn fra Datatilsynet - at tildele den enkelte myndighed en bøde, hvis den har overtrådt reglerne i GDPR.
Nej, men det giver et incitament til enten at ændre softwaren eller indføre ny software som kan håndtere problemstillingen...
Ja. Kunne vi bare nå dertil at det ikke længere vil være en økonomisk fordel at ignorere sikkerheden, så vil meget være nået.
Lige nu straffes de afdelinger/chefer, som rent faktisk tager sikkerheden alvorligt.
Men i mine øjne har vi her et glimrende eksempel på Datatilsynets momentært totale mangel på proportionssans.
Datatilsynet skal sgudda ind i sager som dem hvor offentlige myndigheder kører med ukrypterede adgangskoder på offentlige registre eller hvor usikre systemer, CPR-nummer, hosthost, får lov at fortsætte, eller sager som Google og Facebook der bygger kæmpe databaser over enkeltpersoners færden på nettet og udnytter dem kommercielt.
Nej, SMS og email er ikke sikre netværk, men det har post eller telefonnetværket heller aldrig været. Den kommercielle verden fungerer nu alligevel, også selvom sikkerhedsproblemerne der er størrelsesordner større end om nogen finder ud af at min søn går i vuggestue. Hold nu op med at chikanere myndigheder der faktisk gerne vil i kontakt med deres borgere!
Hvis de resurser der er postet i misfostrene e-boks/Digital post i stedet var postet i at få emailudbyderne i DK til at slå kryptering til, så havde hele samfundet fået en gevinst i stedet for en klods om benet. Evt. kunne staten have startet en emailtjeneste.
Stop nu idiotien. Den er ikke gratis, og den skaber dårlige arbejdsforhold.
Der findes i dag regler om offentligt ansattes tavshedspligt. Der kan uddeles bøder eller fængsel op til 2 år for overtrædelser. Er der nogen der ved om disse paragraffer kan bruges til at komme efter en ansat som fx har sendt en mail til den forkerte medtager? Eller sendt persondata til en databehandler uden at de nødvendige papirer er i orden?
Bøder til ansatte må antages at skabe et stort pres indefra for at få tingene fixet...
Nærmere medarbejderflugt.
Dette problems vedholdenhed har samme årsag som at bonus til en direktør har præcis nul effekt:
Der er for langt mellem ledelseslaget og de mennesker, det udfører opgaven.
Du belønner en chef for medarbejdernes resultater, og du straffer en institution for medarbejdernes fejl.
Indtil den enkelte medarbejder kan mærke alvoren, sker der INTET. Og hvis man straffer en institution for fejlene, så rammer man også de kompetente.