Kæmpebøder på vej mod datasjusk

Illustration: leowolfert/Bigstock
EU arbejder på at reformere reglerne for databeskyttelse. Blandt andet med at udstede bøder op til 750 millioner kroner for brud på persondataloven. Det vil øge den generelle datasikkerhed, lyder det fra flere sider.

Mens de udenlandske og indenlandske diskussioner om datalækager skyller ind over os, foregår der et større reformarbejde i EU om reglerne for databeskyttelse i Europa.

Læs også: 289 danske registre med personfølsomme data uden for myndighedernes kontrol

Spørgsmålet er, om reformen, der har karakter af en EU-forordning, får betydning for den seneste tids historier om datahåndtering.

Anette Høyrup, der er seniorjurist i Forbrugerrådet Tænk, mener, at datareformen generelt vil forbedre beskyttelsen af borgernes persondata, og hun peger blandt andet på, at den lægger op til det, hun kalder indbygget sikkerhed i de systemer, der håndterer persondata.

»Kravet om indbygget datasikkerhed vil betyde, at en medarbejder ikke ville kunne sidde i fire år og hente data fra en server, uden at det ville blive opdaget,« siger hun med henvisning til den verserende sag om lækkede betalingskortdata fra Nets til ugebladet Se og Hør:

»Der er kæmpe forskel på, at man som medarbejder skriver under på, at man ikke er nysgerrig, og så at lave en sikkerhedskontrol i selve systemet. Altså en teknisk beskyttelse af oplysningerne.«

Desuden hæfter Anette Høyrup sig ved, at datareformen lægger op til et større samarbejde mellem europæiske datatilsyn.

Læs også: V: Danske myndigheder skal beskytte databehandlere mod amerikansk pres

Charlotte Bagger Tranberg, persondataspecialist hos advokatfirmaet Bech-Bruun, fremhæver, at bødeniveauet for brud på persondataloven kan blive op til 5 pct. af omsætningen med et loft på 100 millioner euro.

»Der er ingen tvivl om, at det forhold, at bødeniveauerne bliver højere, vil betyde, at der kommer et helt andet fokus på området, end der har været tidligere, hvor private virksomheder kun har fået en bøde på højst 25.000 kroner.«

Respekt for EU’s regler

Også i lyset af sagen, hvor en New York-domstol har beordret Microsofts datterselskab i Irland til at udlevere personoplysninger, vil datareformen betyde forbedringer, påpeger justitskommissær Viviane Redings talsperson, Mina Andreeva, i en e-mail til Ingeniøren:

»Europa-Parlamentet har med dets stemme på EU’s databeskyttelsesreform bekræftet – og faktisk skærpet – princippet om, at virksomheder, der opererer på det europæiske marked, skal respektere de europæiske regler for databeskyttelse – også selvom de (virksomhederne, red.) befinder sig i USA.«

Skærpelsen er en tilføjelse om, at data kun kan udleveres til amerikanske myndigheder, hvis den nationale databeskyttelsesmyndighed har givet grønt lys til det.

Det oprindelige reformforslag blev fremlagt af EU-Kommissionen i 2012. Det har derefter været behandlet i Europa-Parlamentet i marts i år. Nu ligger bolden hos EU’s ministerråd.

Professor ved Det Juridiske Fakultet på Københavns Universitet Peter Blume er forbeholden over for det nuværende reformarbejde, som han mener i stort omfang vil kunne rummes inden for det eksisterende databeskyttelsesdirektiv fra 1995.

»Jeg siger ikke, det ikke går fremad, men det går ikke fremad med de der kæmpe skridt, som nogle vil gøre det til,« siger han.

Ifølge Peter Blume er der dog nogle forbedringer i den igang­værende reform, blandt andet oplysningspligten, hvor dataansvarlige skal rette henvendelse til myndigheden for databeskyttelse, såfremt der sker brud på databeskyttelsen.

»Men man skal selvfølgelig være opmærksom på, at selvom der er en pligt, er det jo ikke det samme, som at der bliver givet meddelelse.«

Hvad angår overvågning fra efterretningstjenester som amerikanske NSA mener Peter Blume ikke, den nye forordning vil batte noget.

»For det første er NSA jo en amerikansk virksomhed, der slet ikke er omfattet af forordningen. Det kan de være ligeglade med. For det andet så gælder forordningen, ligesom med direktivet, ikke for behandling af personoplysninger inden for na­tional sikkerhed,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Jepsen

Bøder betales af firmaet hvorved den enkelte person kan være ligeglad og ledelsen kan regne koldt på om det kan svare sig. Sæt bøde på OG fængselsstraf til ledelsen, 3-4 år bag tremmer vil helt sikkert afskrække mere end 750 milioner i bøde.

  • 5
  • 1
Asbjørn Jensen

Mon dog ikke !

Men man kunne jo starte med et objektivt og solidarisk ansvar og fx give 1000Kr pr person og hændelse i erstatning ved persondata exponering

Nogle firmaer og myndigheder ville så gå konkurs.

Da chefer jo typisk er aflønnet på basis af økonomisk resultat vil de næppe i fremtiden være villige til at løbe de sikkerhedsricici de gør i dag

Det drejer sig om at gør usikker pooling af mange data så økonomisk ricikabel at de begrænser sig.

En hel anden side af samme problem er at systemfejl får skylden for alle svagheder. Samme løsning når man sparer med enorme ricici til følge har man også påtaget sig en personlig og organisatorisk riciko.

Så alt i alt det skal ikke i fremtiden være konsekvensfrit at se bort fra IT kvalitet

  • 2
  • 0
Jesper Jepsen

Som borger der det mig ligegyldigt hvordan ledelsen sikre sig at love og regler overholdes bare de gør det. Kan de ikke sikre at mine personlige data forbliver personlige har de svigtet og må tage konsekvensen. At en medarbejder lækker data er ledelsens problem da de netop ikke har taget sikkerheden alvorligt nok og ikke gjort nok.
Når alt så er sagt ja der vil være tilfælde hvor ledelsen vil stå magtesløs men så må de bevise at de har gjort ALT for at imøde går data læk og her gælder økonomi ikke som en undskylding. Hvis virksomheden ikke har haft økonomi til at sikre data ordenligt så skal de ikke håndtere dem.

  • 2
  • 1
Harry Jessen

Det eneste der nok vil hjælpe er minimum 5 års fængsel til både ledelsen og bestyrelsen i det selskab der ikke sikrer deres brugers data godt nok.

Hvis der, som i tilfældet med Nets er en intern medarbejder skal straffen for vedkommende være minimum 10 års fængsel, plus naturligvis stadigvæk straffen til ledelse og bestyrelse, fordi de ikke har varetaget sikkerheden.

Hvis ledelse og bestyrelse skal slippe for straf, må misbruget højest have fundet sted i 1 måned.

  • 1
  • 1
Jonathan Jørgensen

Stortset alle IT-systemer har huller og er i princippet usikre. Det være sig banker, forsikringsselskaber, politiets, betalingsformidlernes

Man bør derfor gå efter straf til de kriminelle som det primære.

Jeg ved godt at mange vil påstå det modsatte - netop at DERES system er sikkert. Men sandheden er at virksomheder med mange systemer, en stor medarbejderstab og mange eksterne leverandører har en stor sandsynlighed for at have bagveje og bugs.

Virksomhederne bør da heller ikke straffes for offentligt at melde ud når de har fundet et hul eller for at anmelde et indbrud. Vi har behov for transparens og deling af informationer med resten af branchen hver gang der sker et dataindbrud.

  • 0
  • 0
Torben Worm

Der bør ikke være nogen øvre bødegrænse eller også skal den være sv.t f.eks 50% af pågældende virksomhedsomsætning.
Det skal både være den medarbejder som begår ulovligheder såvel som ledelsen, der skal kunne straffes med fængsel.
Medarbejderen med op til livsvarig fængsel.
Ledelse med op til 10 års fængsel.
I den aktuelle Se & Hør sag kunne en passende bøde være 50 % af Aller koncernens omsætning i 2013 og fængselstraf til chefredaktører uden at der var forældelsesfrist.
Pågældende medarbejder burde sættes bag tremmer i de næste 10-15 år.
Men man kommer aldrig uden om at noget tilsvarende kan ske på ny - blot bør konsekvenserne være så kontante at de fleste afstår fra at gøre noget tilsvarende og de ansvarlige (=ledelse) sørge for at ordentlig virksomhedskultur.

  • 1
  • 1
Jens loggo

Ledelsen hverken kan eller skal da følge med i alle opgaver.

Alt kan de ikke følge med i, men f.eks i den nuværende Nets-sag, har de ikke levet op til deres ansvar. De både kan og skal følge nok med, til at det ikke burde være sket. Det er deres ansvar at have overblikket, og også at opdage dårlige led.

Deres arbejde skal tages meget seriøst, og det er det ikke blevet.

  • 2
  • 0
Troels Henriksen

Pågældende medarbejder burde sættes bag tremmer i de næste 10-15 år.

Det er ikke nødvendigt med så voldsom en straf for at virke afskrækkende, og det koster en formue at holde nogen i fængsel så lille. Endvidere er sandsynligheden for re-integration i samfundet derefter begrænset, hvorfor vedkommende sandsynligvis vil udgøre en yderligere byrde for socialvæsenet (hvis han da ikke direkte fortsætter i kriminalitet). Det virker helt uden for proportioner.

  • 4
  • 1
Kevin Johansen

Nu kommer hævnlysten vist op i folk. Tag nu lige og tænk over straframmer generelt og så sammenhold med alvorligheden.
Det giver jo ikke nogen mening med så stor straf, hvis forbrydelsen og skaden på personer og/eller samfundet er lille.
Sammenlign evt. med økonomisk kriminalitet; her er straffen ikke synderlig høj, MEDMINDRE det er særlig grov (samfundsskadelig typisk) karakter. Det samme gør sig iøvrigt gældende for den såkaldte "hacker"paragraf; her er der også skærpende omstændigheder som øger straframmen

  • 2
  • 2
Knud Larsen

Måske skulle vi se det i lidt større perspektiv.
Magthaverne er ikke interesseret i at slippe data, de skubber på for at får så store databanker som muligt især Skat. Skat har i forvejen ingen skrupler og overskrider 238 love for at få "deres retmæssige adgang til data".Det er selvfølgelig kedeligt med en sådan snagen, men så længe Se og Hør lovligt kan udgives vil det fortsætte.
Sammenligner vi med indbrud er skaden jo dog mindre (afh af typen af indsigt selvfølgelig) og i Danmark bruger man slet ikke energi på at begrænse indbrud. Vi rangerer lavest i hel EU Danmark er adskillige gange ringere end Chigago.
Overfører vi nogen af de fremførte betragtninger skal vi jo alle bo en betonbunker med gitre for og pitbull terrier som en anden rockerborg.
Er det vi vil?
jeg synes først der skulle ske lidt mere på retshåndhævelsen. Det er for ringe at direkte lovovertrædelser kræver personlig politianmeldelse.
Generelt synes jeg retshåndhævelsen er alt for sløv.
Husk også at de fleste indbrudstyve, der bliver 'fanget' slipper med et påbud. Der skal ofte adskillige indbrud til før der sker noget 'alvorligt', som så bliver eftergivet af fængselsvæsenet.

  • 2
  • 0
Harry Jessen

Kevin nu laver vi normalt ikke i Danmark, love med tilbagevirkende kraft.

De høje straffe, skal tvinge, både bestyrelse og daglig ledelse til at tage person data beskyttelse alvorligt.

Allerhelst så jeg også en straf til de politikere, der ikke mener at person data sikkerheden betyder det store.

Det burde endvidere være muligt for alle, at være medbestemmende om deres data, fra for eksempel sygdoms forløb skal kunne udleveres til forskere.

Vi kan kun få firmaer til at overholde loven, hvis de højest rangerende i de forskellige firmaer ved at de ved en overtrædelse, ved at der venter dem en fængselsstraf.

Så det jeg mener er at vi med de høje straffe, skal forhindre fremtidige lækager fra firmaers databaser. Vi tvinger ledelsen og bestyrelsen til at tage et ansvar for sikkerheden.

  • 0
  • 0
Rasmus Iversen

Hvorfor ikke også fratage en virksomhed retten til at behandle og opbevare personfølsomme data?

Hvad med at genbruge lidt fra færdselsloven. Tre gentagende overtrædelser medfører et forbud mod behandling og opbevaring af personfølsomme data.

  • 1
  • 1
Log ind eller Opret konto for at kommentere