It-ingeniører: Giv Datatilsynet mere magt til at kontrollere os

Der er for dårlig styr på danskernes persondata hos de offentlige myndigheder, og netop privacy er det vigtigste emne for politikerne at få styr på efter folketingsvalget 18. juni.

Sådan lyder hovedkonklusionen i en undersøgelse, som Ingeniørforeningen har gennemført blandt danske it-ingeniører, som er medlemmer af IDA-IT.

Ifølge it-ingeniørerne skal hammeren falde tungere, når personnumre ligger og flyder på nettet som følge af dårlig it-sikkerhed. Den højeste bøde, der er givet i Danmark for datalæk, lyder på 25.000 kr., og hele 79 pct. mener, at Datatilsynet bør have skrappere sanktionsmuligheder.

Ingeniørforeningens ekspert i it-sikkerhed, Jørn Guldberg, hæfter sig ved, at de 880 deltagere i undersøgelsen udvikler de it-systemer, som Datatilsynet skal kontrollere.

»Det er mennesker med fingrene i mekanikken. Jeg hører det som et nødråb, hvor de oplever, at området ikke bliver prioriteret tilstrækkeligt. Der er behov for, at Datatilsynet gør mere for at kontrollere de systemer, vores data ligger i,« siger han.

Han ser det som et stort problem, at it-ingeniørerne ikke stoler på, at det offentlige opbevarer data sikkert.

»Vi har en drøm om at digitalisere Danmark. Det vil give os rigtig mange fordele. Men hvis ikke vi kan stole på, at det offentlige behandler vores oplysninger rigtigt, så mister man jo tilliden og gnisten til at gøre tingene på den rigtige måde,« siger Jørn Guldberg.

En stribe eksperter bakker op om, at Datatilsynet har alt for lidt magt. De henviser til de mange sager om persondata, der er blevet lækket, f.eks. fra politiets registre. Rigsrevisionen fandt således kritisable forhold på samtlige af de it-systemer, som revisorerne gik efter i sømmene.

Formand for Rådet for Digital Sikkerhed Birgitte Kofod Olsen peger på, at virksomheder og myndigheder ikke engang har pligt til at indberette til Datatilsynet, når sikkerheden svigter, og danskernes persondata bliver spredt på nettet. Derfor er det også omkostningsfrit at forsøge at tie det ihjel.

»Datatilsynet kan rejse kritik, men har ikke andre sanktionsmuligheder. Og det er ikke nok,« argumenterer hun og tilføjer, at det danske datatilsyn også har meget begrænsede ressourcer i forhold til tilsynene andre steder i Europa.

Direktør Per Andersen fra Dansk IT, et netværk for it-professionelle, påpeger, at der bliver gjort alt for lidt for at forhindre, at persondata bliver lækket, og at Datatilsynet ikke har ressourcer til opsøgende arbejde.

»Tilsynet behandler kun ansøgninger. Vi mener, at det også skal gennemføre kontroller,« siger han og nævner brugen af CPR-numre som en medvirkende årsag til, at persondata så ofte havner i de forkerte hænder.

Dansk Industris it-gren, DI Itek, ser også gerne Datatilsynet styrket, men hovedsageligt for at kunne vejlede virksomhederne. Til gengæld er branchedirektør Adam Lebech enig med it-ingeniørerne i, at der er behov for at stramme datasikkerheden i offentlige it-systemer.

»Den sikkerhedsstrategi, som regeringen har fremlagt, bærer præg af, at den især er skrevet af Finans- og Forsvarsministeriet, og har fokus på, hvordan man som myndighed beskytter sig – ikke så meget på retssikkerhed eller persondata,« siger han.

DI Itek mener desuden, at der mangler en strategi til at sikre persondata i kommuner og regioner, der har flere systemer end staten med oplysninger om danskerne.

Socialdemokraternes it-ordfører, Karin Gaardsted, erkender, at sikkerheden ikke er tilstrækkelig i offentlige it-systemer.

»Var sikkerheden i orden, kunne vi have undgået nogle af de tåbelige datalæk, vi har set,« siger hun.

Karin Gaardsted støtter skrappere sanktioner, herunder højere bøder, til virksomheder, som sløser med persondata. Desuden er der behov for at stramme kontrollen med, hvem der har adgang til danskernes persondata, mener hun.