GDPR: Regeringen vil give det offentlige bøder for sjusk med data

Det skal have mærkbare konsekvenser, også for det offentlige, hvis man overtræder reglerne om databeskyttelse, lyder det fra regeringen

Regeringen vil straffe offentlige myndigheder med bøder, hvis de ikke passer ordentligt på borgernes cpr-numre, sundhedsoplysninger eller andre persondata, skriver Politiken fredag.

Den 25. oktober fremsætter justitsminister Søren Pape Poulsen (K) et forslag til en ny databeskyttelseslov, som betyder, at en myndighed kan pålægges en bøde på op til 4 procent af dens driftsbevilling – dog med et loft på 16 millioner kroner - hvis lovens bestemmelser overtrædes.

»Overholder man ikke reglerne om databeskyttelse, er det en alvorlig sag, som skal have mærkbare konsekvenser. Derfor har regeringen besluttet, at også offentlige myndigheder skal kunne få bøder, hvis de overtræder reglerne«, skriver Søren Pape Poulsen i en kommentar til Politiken.

Et samlet folketing har siden 2015 presset på for, at myndigheder skal sanktioneres på lige fod med private firmaer, når de overtræder loven og sjusker med databeskyttelse.

Og et stort flertal af it-professionelle var tilhængere af bødestraf til myndigheder, der sjusker med datasikkerhed, viste en rundspørge, som Dansk IT foretog blandt 219 it-professionelle i sommer.

Læs også: Rundspørge: It-professionelle vil give myndigheder bøder for datasjusk

Men Justitsministeriet har indtil nu advaret de folkevalgte mod at tage dette skridt: »Justitsministeriet finder ikke, at offentlige myndigheder og private virksomheder bør gøres til genstand for samme sanktionsmuligheder«, lød det i et svar til Folketinget 14. januar 2016.

Åbningen for at give det offentlige bøder for brud på persondataloven kommer som led i implementeringen af EU's nye persondataforordning, GDPR, som træder i kraft til maj næste år. GDPR lader dog den enkelte medlemsstat selv afgøre, om offentlige myndigheder skal kunne bødestraffes. Det har Danmark så nu valgt, at det skal de.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
David Nielsen

staten kan jo ikke give sig selv bøder - lidt som at opkræve skat af sig selv.

de kunne dog fx. indføre sanktion med at hele ledelseslaget fyres på gråt papir uden fratrædelsebonus per data læk - eller evt. bare en leder per person der lækkes data om.... så skal der nok blive strammet op i organisationerne.

Michael N. Steen

Offentlige institutioner bryder sig ikke om at få beskåret bevillingerne, hverken på den ene eller på den anden måde, så mon ikke udsigten til klækkelige bøder har en adfærdsregulerende virkning.

Jeg synes, det er positivt, hvis det får tydelige konsekvenser, hvis man sløser med sikkerheden omkring borgernes personlige data - uanset hvem der sløser.

Andy Fischer

Vi vil komme til at opleve en ny form for økonomisk kriminalitet, rettet mod kommuner, mindre offentlige myndigheder og institutioner. Man vil henvende sig med besked om, at man har et læk klar til offentliggørelse, og meddele, at hvis ikke der betales en løsesum, vil det blive offentliggjort, med store økonomiske konsekvenser.

Det er en nem fremgangsmåde, idet ingen mindre (eller større) offentlige myndigheder vil turde ignorere en sådan henvendelse. I en privat virksomhed, vil man kunne iværksætte undersøgelser, og iøvrigt have en del muligheder for at modarbejde en sådan henvendelse, men det er svært at gøre i det offentlige, hvorfor løsesummen i de fleste tilfælde vil blive betalt.

Anne-Marie Krogsbøll

Hvis sikkerheden ikke er god nok, dvs. ikke lever op til lovkrav etc., så må nogen et eller andet sted i systemet have taget en forkert beslutning. Der må et eller andet sted være nogen, som har sagt "Det skal vi ikke bruge tid og penge på", eller "Det der gider jeg ikke at gøre ordentligt". Så hvorfor er det institutionen som et hele, og de af denne afhængige borgere, der skal straffes? Er det ikke lidt for meget "Ansvaret, der forsvandt"?

Mørklægningsloven skal afskaffes, så det faktisk bliver muligt at sætte fingeren på, hvem der helt konkret har ansvaret for dårlig datasikkerhed. Dårlige og uansvarlige beslutninger tager ikke sig selv. Der er mennesker bag, som må kunne stilles til ansvar. Og det er vel ofte i toppen, linjen lægges?

Peter Binderup

Måske det var mere gavnligt, at man bad kommunerne (og virksomhederne) om at afsætte "bøden" til forbedring af software, sikkerhed og awareness.

Hvis et system lækker data og kommunen straffes med en bod på op til 16 mio, så er der altså også op til 16 mio mindre for kommunen til at forbedre datasikkerheden (det samme er selvfølgelig gældende for private virksomheder), og der er med garanti også mindre i budgettet til velfærd og uddannelse.

Er der tale om bevidste brud på datasikkerheden, og er ledelse mv. klar over det så skal der vanke bøder og fængsel, men ved uheld der er det fuldstændig overkill og en forherligelse af en nul fejlskultur, som ikke er gavnligt for nogen - det være sig borgere eller kunder.

Er der tale om menneskelig fejl, så er det måske awareness der skal arbejdes med i kommunerne og virksomhederne - hvad der i én medarbejders optik er følsomt er det måske ikke for en anden. Så en forståelse blandt medarbejdere over konsekvens af data bør være en langt højere prioritet end den er i dag - og med et kommunalt IT landskab som i en typisk kommune er på 3-400 IT systemer der udveksler data, der vil der ske brud på datasikkerhed hvis ikke ressourcerne bliver sat af til løbende udvikling og ikke mindst awareness.

Så i stedet for at bøderamme offentlige og private virksomheder, så var det måske bedre at tvinge virksomhederne til at reinvestere "bøden" i forbedret sikkerhed - det tror jeg vil være bedre givet ud end at pengene ryger ind på statsbudgettet.

Anne-Marie Krogsbøll

Så i stedet for at bøderamme offentlige og private virksomheder, så var det måske bedre at tvinge virksomhederne til at reinvestere "bøden" i forbedret sikkerhed - det tror jeg vil være bedre givet ud end at pengene ryger ind på statsbudgettet.


Sådan set enig - men er der ikke men risiko for, at kommunerne bare spekulerer i, at "vi tager bøden, og så bruger vi den til næste projekt"?

En bøde, der bare ryger tilbage i kommunekassen, er vel strengt taget ikke en bøde. Måske kunne bøderne i stedet ryge i en "Opklaringskasse", så de kunne gå til faktisk at få placeret ansvaret? Ville det ikke kunne få diverse aktører til at oppe sig lidt, hvis de faktisk kunne blive gjort personligt ansvarlige for uansvarlige beslutninger?

Jeg er enig i, at banale menneskelige fejl skal der være plads til - men i de store skandaler, vi oplever, får man i hvert fald en fornemmelse af, at vi ikke bare har med banale menneskelige fejl at gøre, men med bevidste handlinger, hvor man simpelthen nedprioriterer datasikkerheden. Det bør ikke foregå ustraffet.

Peter Binderup

Sådan set enig - men er der ikke men risiko for, at kommunerne bare spekulerer i, at "vi tager bøden, og så bruger vi den til næste projekt"?

Nej jeg vil faktisk mene at "bøden" skulle gå specifikt, og under revisionskontrol, til forbedring af det specifikke system der har skabt lækagen. Bøden skal jo selvfølgelig være relativ i forhold til vægten af den data der er lækket - det skal ikke være en automatudskrevet bøde. Den skal være proportional med lækagen og følsomheden.

Kan det bevises at lækagen er bevidst, så skal hammeren falde hårdt overfor de ansvarlige - absolut ingen tvivl om det.

Andy Fischer

I et sådan tilfælde er virksomheden allerede blevet hacket, og skal derfor oplyse dette.


Det tror jeg ikke den nødvendigvis er. Jeg ville nok, hvis jeg var IT-kriminel, og vidste lidt om den politiske og faglige virkelighed i det offentlige, satse på, at de ville betale en løsesum.

Dels fordi de ikke har kompetencerne internt til at vide om det er rigtigt, og dels fordi de ikke kan bringe kompetencer ind til at undersøge det, uden at afsløre sig selv, og dermed komme ud i et politisk stormvejr.

Claus Juul

så må nogen et eller andet sted i systemet have taget en forkert beslutning.

Alle beslutninger er ikke 100% korrekte, set med andres øjne. Der findes ikke en 100% korrekt beslutning eller løsning.

Hvad der kan virke ok i dag, er måske ikke ok om 3 år, fx at næsten alle system og service konti tilbage i 2000, havde administrator rettigheder. Det var ok dengang, men det er det ikke i dag eller hvad med lokal admininstrator rettigheder, det var også helt normalt tilbage i 2000. Begge problemstillinger var nærmest umulige at komme uden om, for det var ekstremt svært at for software til at fungere uden administrator rettigheder eller lokal administratorrettigheder.

Behovet var ikke så stort dengang, det er det så stille og roligt blevet og producenterne har tilpasset deres software den nye virkelighed.

Hvis alle producenter dengang skulle have efterlevet nutidens krav (fra den ene dag til næste) hvad tror du det havde kostet kunderne? jeg selv gætter på at 5-10 gange den pris software kostede.

Claus Juul

Kan det bevises at lækagen er bevidst, så skal hammeren falde hårdt overfor de ansvarlige - absolut ingen tvivl om det.

Det vil skulle være et bevis som kan holde i retten og det vil kun i sjælende tilfælde gøre sig gældende.

Personligt håber jeg at synderen, beder om en ekstra bevillig, svarende til bøden eller derunder, hos finansudvalget, som så kan afkræver synderen en handlingsplan med målbare mål og at handlingsplanen sættes igang inden der udbetales en eneste krone.

Gentager hændelsen sig, kan finansudvalget med rette sig at handlingsplanen ikke var god nok og at kassen nu er lukket, Så kan det være at synderen bliver nød til at genoverveje om de rigtige kompetancer er ansat.

Claus Juul

Det tror jeg ikke den nødvendigvis er. Jeg ville nok, hvis jeg var IT-kriminel, og vidste lidt om den politiske og faglige virkelighed i det offentlige, satse på, at de ville betale en løsesum.

Hvad tror du en revisor vil sige til at der er blevet udbetalt løsepenge? Beløbet vil jo ikke været et lille beløb, for den som afkræver det, løber en risiko for at blive anholdt.

Tim Carstensen

Det er glædeligt at offentlige myndigheder pålægges bøder på lige fod med private når der sjuskes med datasikkerheden. Der er ikke noget som penge der i den grad giver incitament til at overholde loven, også for offentlige myndigheder.
Imidlertid er en del af denne diskussion helt uden for lovforslaget. GDPR er en EU forordning dvs. den kræver ikke nogen implementering i dansk lov overordnet. Imidlertid har EU givet de enkelt land nogle få friheder i forbindelse med lovens ikrafttrædelse f.eks. : a) Skal offentlige myndigheder ifalde samme bødestraffe som private, b) Betingelse for alderen på "børn" ved indhentning af samtykker.
Det betyder at de danske lovgivere ikke skal tage stilling til hvor bøden skal havne, om ansvaret er personligt, hvordan en kommunes bøde skal finansieres eller andre spørgsmål. Hvis der skal lovgives om disse spørgsmål skal der laves nye lovpakker lokalt i Danmark, og mon ikke eksisterende lovgivning har et eksempler på hvordan dette sker inden for andre områder.
Persondataforordningen åbner ikke mulighed for "forbedringspuljer" eller personligt ansvar - Bøden til offentlige myndigheder er bare et "ja" eller et "nej".

Jeg tænker det er godt for danskernes personlige data at vi har fået et "ja" !

Tim

René Nielsen

Det er jo ikke noget særsyn at myndigheder kommuner ignorerer kritikken fra Datatilsynet eller politiet som højt og flot ignorerer afgørelser/love om f.eks. destruktion af fingeraftryk/DNA af uskyldige.

Tag f.eks. denne artikel https://www.version2.dk/artikel/datatilsynet-vi-bliver-sat-skakmat-naar-...

Du/i kan finde mange flere eksempler – hvis du/i åbner øjnene.

Der er nødt til at være ”lighed for loven”, for faktum er, at i dag kan ”digitale forbrydelser betale sig” – hvis man er en offentlig myndighed.

Den nuværende retstilstand er uholdbar.

Louise Klint

Det lyder rigtig godt.
Så bar jeres gode ”lobbyarbejde” frugt :)

Jeg tror jeg har læst om persondatasjusk herovre det seneste halvandet år, og der er jo sager ‐ hvor ofte? Hver uge? Det er dybt bekymrende, ikke mindst i lyset af den mangfoldiggørelse af vores alle sammens persondata, særligt private sundhedsdata, som det offentlige har travlt med at udbrede i disse år.

Jeg tænker på Sundhedsdatastyrelsen og deres mange sygdomsregistre, de lader alle Danmarks kommuner og sagsbehandlere få adgang til.
Og jeg tænker på Ellen Trane Nørbys NPI, Nationale PatientIndeks‐kæmperegister, hvor man kan få et overblik over hele din sygehistorie, dine aftaler i sundhedsvæsenet, diagnoser og medicinforbrug ‐ samt dele oplysningerne ‐ uanset du ønsker det eller ej.

Det ville være dejligt om der blev ført lidt justits med det.

Så skal de bare ”huske” at sætte nok ressourcer af til at føre tilsyn og sagsbehandle. Så det ikke ender som et alibi, i lighed med måden hvorpå man har stækket Datatilsynet.
Men ja, rigtig god nyhed i dag!

https://www.version2.dk/artikel/droeje-persondata-hug-syv-ud-otte-statsl...
https://www.version2.dk/artikel/styrelse-efter-haard-kritik-datatilsynet...

Finn Christensen

Så den enkelte instans vil opleve et økonomisk tab, på trods af at pengene teknisk set aldrig forlader staten.

Du drømmer.. ;) velment, men virkeligheden er ikke sådan.

Disse småbeløb giver ikke den mindste forbedring af datasikkerhed..

Politiske/offentlige administrationer er på samme vis som bandemedlemmer kun følsomme overfor at kunne komme i "bad standing", derfor:

Den politiske ansvarlige mister sin post for resten af perioden, og reserven indtager taburetten.  
Kvajpanden (en underordnet), der ikke magtede sin opgave, bliver degraderet og får et rødt kryds i karakterbogen  
Kvajpandens chef - ditto.

Kommunerne øffer allerede i dag[1], at hvis de får bøder, så mister de jo penge til "varme hænder", "de syge får ikke skiftet bleen" og lignende vrøvl - de skulle skamme sig :(

Den offentlige sektor snorker stadig, og har denne dato endnu ikke fattet, at de er delvis inkompetente og i k k e tilstrækkeligt it-vidende og sikkerhedsmæssigt uddannet, samt derigennem tager de ikke deres dataansvar tilstrækkelig seriøst. Det er vores data og ikke kommunens - fat dette enkle budskab!

Store dele af datasikkerhed består selv her i dette årtusinde af papir, hvor nogen mener, tror og har underskrevet på "tro og love" - men hvilke kompetente it-udannede kontroller (uanmeldt) om det sker?

Hvor er Datatilsynets spritnye afdeling, Datakontrollen, der som Rigspolitiet eller Rigsrevisionen (i gamle dage) havde et "rejsehold" - de 50-100 it-kompetente M/K, som konstant kan indsætte ved databrud, eller som året rundt er derude i virkeligheden og foretager løbende kontroller. De 50-100 mand er tilmed alt for lidt, men det er dog et tegn på noget nyt og seriøst.

[1] ..http://politiken.dk/indland/art6038304/Kommuner-advarer-B%C3%B8der-for-d...

Andy Fischer

Hvad tror du en revisor vil sige til at der er blevet udbetalt løsepenge? Beløbet vil jo ikke været et lille beløb, for den som afkræver det, løber en risiko for at blive anholdt.


Med min viden om den måde det politiske system i kommunerne og de mindre institutioner fungerer, ville jeg holde afpresningsbeløbet så lavt, at det enten nemt kan camoufleres i regnskabet (hvilket sker jævnligt - jeg er gammel revisor, og har set det tit), eller så en eventuel chef uden problemer kan betale afpresningen af egen lomme. Således ingen dokumentation til revisionen.

Vi har allerede set vellykkede forsøg på at lokke penge ud af prvate virksomheder efter den metode, så det nye er blot, at nu har statslige chefer fået et incitament til at betale.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017