Forbrugerrådet: KL er blinde for store problemer med datasikkerhed

Hvis kommunerne vil bevare borgernes tillid i fremtiden, må de op på hesten og skærpe deres fokus på sikkerhed, ikke bare afvise nye og bedre procedurer til gavn for borgernes privacy, svarer Forbrugerrådet nu KL.

»KL ser ikke virkeligheden i øjnene. Vi er blevet et gennemdigitaliseret samfund, og vores lovgivning halter alvorligt. Digitalisering er positivt, men udviklingen har sat vores it-systemer og privatliv under voldsomt pres.«

Sådan lyder det nu fra seniorjurist i Forbrugerrådet Tænk og næstformand i Rådet for Digital Sikkerhed Anette Høyrup som en reaktion på udmeldingen i går på Version2, hvor KL langer hårdt ud efter den nye lovgivning på området, nemlig EU's persondataforordning, som skal sikre en bedre beskyttelse af borgernes data.

Forordningen kræver bl.a. en konsekvensanalyse af it-systemer, der arbejder med persondata, men chefkonsulent Pernille Jørgensen mener, at disse nye krav 'blot er en stor papirtiger', at 'omkostningerne ved at udføre opgaven slet ikke står mål med nytteværdien', og at 'langt hen ad vejen har vi allerede i dag nogle fornuftige databeskyttelsesregler'.

Læs også: KL om ny persondataforordning: »En papirtiger og spild af penge«

Anette Høyrup er lodret uenig og peger på, at kommunerne i dag ligger inde med de mest private oplysninger om vores helbred, sundhed, sociale forhold, og at reglerne derfor både skal opdateres for private virksomheder og offentlige myndigheder.

De nye regler mener hun også er vigtige, fordi de har til formål at forebygge databrud og samtidig sanktionere dem, der ikke overholder reglerne.

»I dag er vores følsomme oplysninger beskyttet af en 20 år gammel lov fra dengang, vores patientjournal kun fandtes i en arkivskuffe, og der bliver knap løftet en pegefinger, hvis reglerne overtrædes,« siger Anette Høyrup.

Datalæk og frittilgængelige CPR-numre

Konsekvensen af den forældede lovgivning er flere og flere datalæk, påpeger Anette Høyrup og refererer til sager, der har været fremme i medierne.

Der er bl.a. sagen om sække, der var efterladt bag Smørum Rådhus, indeholdende meget følsomme oplysninger om børn og unge og deres forældre. Eller sagen omtalt på Version2, hvor en elev fandt et CPR-hul i et skolesystem, eller lækken af 900.000 CPR-numre fra CPR-kontoret.

»Rigsrevisionen har også igen og igen advaret imod it-sikkerheden i statens systemer, og endelig er der i dag et kommercielt pres på adgang til personlige oplysninger.«

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

»Hvis kommunerne vil bevare borgernes tillid i fremtiden, må de op på hesten og skærpe deres fokus på sikkerhed. Det at medarbejderne ikke har styr på de nuværende regler - som KL nævner - kan ikke undskylde, at de ikke vil fremtidssikre deres kunders/borgernes data,« siger Anette Høyrup.

Tværtimod mener hun, at det gode ved de nye regler er, at fokus især er på brug af bedre teknologi, hvilket også mindsker medarbejdernes risiko for fejl.

EU´s persondataforordning vil, når den bliver vedtaget om kort tid, afløse det nuværende EU-direktiv fra 1995, som den danske persondatalov i al væsentlighed bygger på. Forskellen på en forordning og et direktiv er, at medlemslandene ikke kan gå ind og lave nationale tilpasninger i en forordning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mette Nikander

Jeg er ganske enig med Anette Høyrup og trods at det kan være en stærk omvæltning for især den offentlige sektor med indførelse af den nye persondataforordning, så er er den og awarenesstræning tiltrængt. Blot kan det være svært for mindre og mellemstore virksomheder at holde sig ajour på regler og tilsikring af, at de faktisk overholdes.
Der kommer f.eks. til at være en del hostingcentre og tilhørende kunder, som skal ha kigget dataadgange og setup igennem sømmene, ligesom virksomheder der selv håndterer personhenførbare data, skal evaluere egne og involverede parters processer og ansvar.
Hos DI Digital (Tidligere DI ITEK) finder man udmærkede vejledninger.
Med venlig hilsen
Mette Nikander/C-cure.dk

Claus Juul

Ja det er rigtigt at en konsekvens vurdering kan blive en papirtiger, men det kan alt andet også, nu trækkes hesten til truget, så vil det da være dumt ikke at overveje om man skal slukke tørsten. Hvis forordningen også fastsætter bøder for lækager Mv. Så er det for alvor dumt ikke at tage et kig i truget og se om der ikke er et eller anden man kan bruge

Christian Christensen

Flere stedet fremhæves CPR-nr som vigtige og personfølsomme. Taget i betragtning af hvor nemt det er at gætter en persons CPR-nr, er det netop der det store opgør i mange offentlige systemer skal tages. Et CPR-nr må ikke stå alene som eneste måde en borger kan verificere over for myndigheden, at det virkelig er den person som borgeren siger vedkommende er.
Et andet vigtigt princip er, at afskaffe den tankeløse brug af CPR-nr som primær nøgle i (alle) mange offentlige systemer. Enhver kommune eller anden offentlig myndighed bør have et identitetsstyringssystem, der oversætter CPR-nr. til en anden nøgle, der benyttes i alle myndighedens interne systemer. Kun ved udveksling af data, eller i visning af data kan CPR-nr hentes.

John Foley

Tak til Anette og Version2 for et fremragende indlæg i debatten. Chefkonsulent Pernille Jørgensen har fuldstændig misforstået situationen og sin rolle. Med databeskyttelsesforordningen får netop KL og de mange andre offentlige myndigheder, mulighed for bedre at beskytte befolkningen og dets borgere mod de mange alvorlige angreb og sløset omgang med de millader af tvangsoplagrede data og oplysninger, de har i deres varetægt. Det har de ikke været særligt gode til jf. talrige rapporter fra Stats- og rigsrevisorerne m,fl.
De mange skandaler og brud på datasikkerheden fra både offentlige myndigheder og private virksomheder dokumenterer éntydigt behovet for persondatabeskyttelsen, der nu langt om længe bliver til noget. Problemet er imidlertid, at SMV'erne er meget dårligt hjulpet, idet staten har frataget pengene, fra bl.a. Datatilsynet og CERT DK, som var afsat til at beskytte disse.

Log ind eller Opret konto for at kommentere