Jurist: Under GDPR ville Statens Serum Institut være blevet ramt af bøde-hammeren

Illustration: vchal, BigStock
Dansk persondata-advokat vurderer, at hvis SSI var blevet snuppet i ikke at føre et eneste tilsyn efter 25. maj, havde instituttet risikeret store bøder. SSI lover nu, at have gennemført første tilsyn allerede i starten af 2018.

En vred minister, forargede borgere og kritik i pressen har været efterdønningerne af, at Statens Serum Institut (SSI) ikke overholdt persondataloven.

Sagen rejser dog også spørgsmålet om, hvad konsekvensen for instituttet ville være, hvis brøden var foregået efter den 25. maj i år, hvor de nye persondataregler GDPR træder i kraft. Og om SSI til den tid ville kunne få en bøde.

»Svaret er ganske enkelt: Ja, de ville blive ramt af bøder efter 25. maj 2018,« skriver Jacob Georg Naur, advokat med speciale i persondata ved HEJM Advokater, i en mail til Version2.

Han tilføjer:

»Samtidig skulle SSI også rydde op efter sig.«

Han forklarer, at SSI bør oplyse de danskere borgere, om deres uforsigtigheder, hvilket de da også netop har gjort på instituttets hjemmeside.

Datatilsynet ønsker ikke at kommentere på den specifikke sag, men forklarer i en mail til Version2, at der i rammerne for den nye databeskyttelseslov, som endnu ikke er vedtaget, er lagt op til, at offentlige myndigheder i et vist omfang kan straffes med bøde for overtrædelse af databeskyttelsesforordningen og databeskyttelsesloven. Disse kan ifølge det nuværende forslag løbe op i fire procent af driftsbudgettet - dog maksimalt 16 millioner kroner.

Gennemfører første tilsyn primo 2018

Siden Version2 tirsdag kunne fortælle, at SSI ikke har ført et eneste tilsyn med deres databehandlere, har SSI nu rettet ind efter persondatalovens krav.

»SSI har hidtil ført tilsyn med databehandlerne på ad hoc basis. Med baggrund i de udtalelser Datatilsynet er kommet med omkring tilsyn af databehandlere i løbet af 2017, har SSI nu iværksat planlægningen af et mere aktivt og systematisk tilsyn, hvor det første tilsyn vil være gennemført primo 2018,« skriver SSI på deres hjemmeside.

Til det skriver Jacob Georg Naur:

»Det er da fint, hvis SSI nu sikrer compliance ved at foretage en systematisk kontrol af databehandlere - det var nok det mindste, man kunne forvente.«

»Men problemet er jo med hele GDPR, at GDPR-relateret arbejde forekommer for de fleste organisationer som driftsfremmed og dermed det, som havner nederst på to do-listen. SSI må formentlig snart have en (ekstern-)DPO på plads, der kan løfte opgaven lidt mere professionelt.«

Udover det forholdsvis konkrete løfte, så skriver instituttet lidt om, hvorfor de vælger at bruge databehandlere i udlandet. Det er langt hen ad vejen de samme svar, som vicedirektør Ole Jensen tidligere har givet Version2 om, at forskning skal være international.

»Det handler om at få de bedste hoveder bragt i spil. Langt størstedelen af de aftaler, vi har, vedrører forskningsprojekter. De analyser skal ofte laves af specialister, der kan sidde alle mulige steder i verden,« sagde Ole Jensen til Version2.

Ingen styr på datasikkerheden

Version2 har siden nytår sat fokus på, hvordan SSI i høj grad benytter databehandlere - bl.a. uden for EU - uden nogensinde at føre tilsyn med dem.

En aktindsigt hos SSI kunne nemlig fortælle, at:

»Statens Serum Institut har ikke foretaget nogle audits eller modtaget nogle indberetninger i forbindelse med databehandleraftalerne. Der forefindes derfor ej heller en aktliste, som du kan få indsigt i.«

Det er dog stik mod persondatalovens §10 stk. 1, der kræver, at den dataansvarlige fører tilsyn med, at databehandleren lever op til en række krav om organisatorisk- og it-mæssig sikkerhed i forbindelse med behandling af persondata.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"SSI har hidtil ført tilsyn med databehandlerne på ad hoc basis. " ??????

Hvordan hænger denne udtalelse sammen med, at de ikke har udført et eneste tilsyn? Er det ikke endnu et eksempel på, at man fra myndighedernes side ikke undslår sig for at fortie, vildlede eller ligefrem lyve for borgerne? For hvis man ikke havde aktindsigten at sammenholde med, så ville man ud fra den udtalelse tro, at SSI faktisk udførte tilsyn ved behov. Det gør de jo altså overhovedet ikke.

Konklusionen på den seneste uges rædselshistorier må jo være, at vore myndigheder fifler, spinner og lyver hurtigere end ene hest kan løbe, når det gælder dataområdet. Selvfølgelig er der forskel på myndigheder, og der er sikkert også ærlige af slagsen. Men som borger har vi ingen mulighed for at vide, hvem der er gode nok, og hvem, der er "skumle", så der er ingen grund til nogen sinde at tro på noget, der kommer fra myndighederne på dataområdet, med mindre det bakkes op af direkte dokumentation i form af aktindsigter og anden research.

Anne-Marie Krogsbøll

Ved fornyet læsning af SSI's orientering om sagen på SSI's hjemmeside bliver jeg nærmest endnu mere vred. Hvis det skal gøre det ud for at oplyse borgerne om, at man har sjusket, så er det grove løjer, hvad man tillader sig:

  1. "SSI har hidtil ført tilsyn med databehandlerne på ad hoc-basis. " Løgn!

  2. "I langt de fleste tilfælde vil der være tale om inddragelse af en anden forskergruppe eller et laboratorium, der ikke har adgang til det samlede forskningsmateriale eller person-specifikke oplysninger, men alene udfører nogle enkelte analyser eller tests. "
    Spin, mørkelygte. For hvad står der egentligt mellem linjerne? At i nogle tilfælde vil denne anden forskergruppe/laboratorium have adgang til det fulde materiale og til personspecifikke oplysninger! Og det er slemt - og uærligt at formulere det på denne uigennemskuelige måde.

  3. "Overførelse af data sker endvidere altid på en krypteret linje eller med kurer. Det tilstræbes, at data altid anonymiseres eller pseudonymiseres."
    Spin, vildledning, mørkelygte - for hvad står der egentligt? Står der ikke, at i nogle tilfælde sendes data ikke anonymiserede eller pseudonomiserede? I forvejen er anonymisering/pseudonymisering et sølle instrument for at beskytte privatlivet, og alligevel kan man ikke engang love, at man sørger det? Hvorfor i alverden ikke? Er det overhovedet lovligt at videregive data, hvis de ikke er som det allermindste anonymiserede/pseudoanonymiserede?

Juristen siger: "SSI bør oplyse de danskere borgere, om deres uforsigtigheder"
I mine øjne har man med den udtalelse, man har lagt ud, blot endnu engang vildledt, eller nærmest direkte løjet for borgerne. Man har i hvert fald ikke givet sandfærdige og reelt oplysende fakta. Så for mig at se skærper denne udtalelse bare sagens alvor, og viser, at SSI på ingen måde er blevet klogere - og nok heller ikke bliver det. Der er for mange penge på spil.

Mikael Ibsen

Giv fx. SSI så stor en bøde, at de må lukke bixen , eller fyre så mange medarbejdere, at produktionen hæmmes voldsomt. Eller går i stå.
Lige hvad vi borgere har brug for - ik' os' ?
Så vender vi vist lige skråen og tænker lidt over konsekvenserne af denne standardtankegang - og prøver igen: En institution laver ikke fejl eller forsømmeligheder, det gør dens medarbejdere - herunder ledelse - så det kunne jo være, at det ikke er mod institutionen, der skal sættes ind med sanktioner - men med personlige sanktioner af adfærdsregulerende art, der maner til eftertanke i det daglige, når fristelserne til at hoppe over, hvor gærdet er lavest, melder sig...

P. S.
Skråtobak er selvfølgelig forbudt - det var bare en metafor.

Peter Hansen

Giv fx. SSI så stor en bøde, at de må lukke bixen , eller fyre så mange medarbejdere, at produktionen hæmmes voldsomt. Eller går i stå.
Lige hvad vi borgere har brug for - ik' os' ?


Spørgsmålet om bøder til institutioner eller sanktioner over for individer har været diskuteret til hudløshed både herinde og i andre fagmedier og du bibringer ikke noget nyt til diskussionen med dit ovenstående indlæg.

Andre har for længst påpeget, at dit forslag om individuelle sanktioner ikke virker og at det allerede er sådan, det fungerer i dag.

https://www.version2.dk/artikel/boede-dilemmaet-skal-offentligt-datasjus...

Erik Gotfredsen

Det er nok svært farbart med bøder til offentlige institutioner.

Men er der ikke noget der hedder ledelsesansvar?
Een af begrundelserne for høje lønninger til ledere er jo "ansvar"!
Hvis en offentlig institution begår lovbrud, er det lederens ansvar, og dermed lederen, der bliver stillet til ansvar!

Et lovbrudet må føre til fyring!

En tidligere leder, som er fyret fra det offentlige, på grund af ansvarsforflygtigelse, kan selvfølgelig ikke ansættes i det offentlige!

Simon Mikkelsen

En institution laver ikke fejl eller forsømmeligheder, det gør dens medarbejdere - herunder ledelse - så det kunne jo være, at det ikke er mod institutionen, der skal sættes ind med sanktioner - men med personlige sanktioner af adfærdsregulerende art, der maner til eftertanke i det daglige, når fristelserne til at hoppe over, hvor gærdet er lavest, melder sig...

Langt de fleste ønsker ikke at hoppe over hvor gærdet er lavest, men at udføre et godt stykke arbejde. Noget der ofte kommer i vejen her er arbejdspres, mangel på uddannelse, mangel på værktøjer eller en process der gør det meget nemt at begå fejl. Alle disse parametre er styret af ledelsen og ofte ikke i medarbejderens favør, fordi det koster.

Derfor mener jeg som udgangspunkt at sanktioner overfor institutionen, virksomheden ol. er det bedste redskab.

Bjarne Nielsen

Hvorfor ikke ledelsen?

Som Simon udemærket redegør for, så er det pt. dyrt at gøre det rigtige, men en gratis omgang at være ligeglad. End ikke den yderste sanktion (en skriftlig udtalelse fra Datatilsynet, hvor der bruges fremhævet skrift til at understrege situationens alvor) gør indtryk.

Derfor synes jeg også at det vigtigt at få genskabt balancen, så det at gøre det rigtige ikke længere bliver opfattet som særskilt byrdefuldt. Selvom jeg ser frem til at der kan falde bøder, så håber jeg i virkeligheden at det ikke bliver nødvendigt med en eneste af dem.

Og så for at svare på dit spørgsmål, så er der flere forhold:
1. Det kan være yderst vanskeligt for udenforstående at få placeret et personligt ansvar, når en organisation løber fra sine pligter; at få placeret det organisatorisk er langt nemmere.
2. Et organisatorisk ansvar udelukker bestemt ikke et personlig ansvar, og har nogen opført sig på en måde, som er personligt ansvarspådragende, så vil en sanktioneret organisationen være den, som er bedst stillet til at føre den sag. De har alle papirerne, og de har alle vidnerne.
3. Sanktioner på organisationsniveau finder allerede anvendelse på mange andre områder, og fungerer glimrende. De er kun sjældent nødvendige, men når de falder, så har det som oftest også ledelsesmæssige konsekvenser. Der er ingen grund til at tro, at dette område skulle være anderledes.

I øvrigt vil jeg, som Peter, henvise til de øvrige, lange debatter, hvor der allerede er tærsket langhalm over emnet. Og Mikael, man får hverken mere eller mindre ret af at gentage de samme argumenter ad nauseam.

Bjarne Nielsen

bemærkede du, hvor langt nede i organisationen ansvaret blev placeret i sagen om de tibetanske flag ved det kinesiske statsbesøg?

Mit første svar ydede vist ikke din bemærkning fuld retfærdighed. Jeg fastholder, at det er et eksempel på, hvor svært det kan være at placere et personligt ansvar, selv når det er helt åbenlyst, at der er fejlet på organisatorisk niveau.

På den anden side, så vil jeg på ingen måde påstå, at det er en sølvkugle i forhold til at få placeret et personlig ansvar, at man starter med at sanktionere den ansvarlige organisation. Det eneste jeg kan svinge mig op til, er at det har de bedste chancer for at ske, hvis det kommer indefra. Eller mao. så er det den mindst ringe af flere temmelig ringe alternativer.

Jeg har selv set det i praksis. Når problemer bliver brisante nok, så tages der ikke beslutninger, så indkaldes der til møder, hvor man er sammen med mindst to andre ledere. Og selvom problemerne er akutte, så kommer møderne til at ligge godt ude i fremtiden, for alle håber på, at kunne undgå at sidde i det mødelokale. På mødet vil man så beslutte, at man ikke har information nok til at tage en beslutning, men at yderligere undersøgelser er nødvendige. Hvor efter man tager endnu en tur i karussellen.

Det vigtige her er, dels at der er mindst to andre, som der kan peges fingre af, og at intet foreligger på skrift, som peger tilbage på andet end den anonyme og kollektive beslutning om ikke at kunne beslutte sig. Samtidig lader man det skinne igennem, at problemet er alvorlig, og at noget bør gøres snares - og på et eller andet tidspunkt, så vil en pligtopfyldende underordnet i ugengældt loyalitet bukke under for presset, og gøre noget.

Jeg har oplevet det ... i det private. Og jeg er sikker på, at det er det samme mønster, som vi har set i sagen om de tibetanske flag.

Mao. bliver ansvaret alt for nemt væk, hvis man prøver at gøre det personligt; man bliver nødt til at placere det organisatorisk. Og er det tilpas svært at ignorere (i modsætning til påtaler skrevet med fed), så vil det blive fordelt hen på rette sted. For man ved godt selv, hvis der var nogen, som prøvede at dukke sig, og det er der hverken forfremmelser eller lønforhøjelser i.

PS: Og inden nogen foreslår et objektivt ledelsesansvar, så tænk lige to gange over det:

  1. Det vil blive indregnet i lønforventningerne up-front (og fordeles efter forhandlingsstyrke, men det er ikke mit indtryk, at det offentliges forhandlingsstyrke er voldsom stor i forvejen). Fordi det sker up-front, så er der meget lille viden, og den risiko vil også blive indregnet i risiko-præmien. Man kommer mao. til at betale en overpris.
  2. Man vil stå med en skævvreden incitamentsstruktur. Den, som har fordelen (lederen med det objektive ansvar) bærer ikke omkostningerne, og derfor vil der ske overopfyldelse. Som vi ser det med mål-bonus for fartbøder og parkeringsafgifter. Vi ønsker ikke, at sætte alt i stå, vi ønsker at det skal gøres ordentligt.
Anne-Marie Krogsbøll

Tak for svar og uddybninger, Bjarne Nielsen.

Eller mao. så er det den mindst ringe af flere temmelig ringe alternativer.


Ja, det er præcist der, jeg får det svært. Det er svært at se på disse skandaler den ene gang efter den anden, uden at nogen kan stilles til ansvar. Og det er svært at se på, at det altid er borgerne og samfundet, der ender med at sidde med omkostningerne. Det er lidt en gordisk knude - er der virkeligt ingen steder i verden, man har kunnet løse den?

Det vil blive indregnet i lønforventningerne up-front


ER det ikke typisk allerede indregnet i lønnen, at lederne burde stå med disse store ansvar? Det får vi da altid fortalt er grunden til millionlønningerne. Det bliver bare meget sjældent til noget med så rent faktisk at blive stillet til ansvar, når der er brug for det. Så for mig ser det ud til, at vi netop ofte betaler millionlønninger for noget, vi ikke får, når det brænder på.

En ting, man vel burde kunne få styr på, det er bonusserne. Enten helt ud med dem, og lad os ansætte folk, der er motiverede af arbejdsglæde og af at gøre et godt stykke arbejde - eller også skal de i hvert fald ikke udbetales, hvis et projekt er kørt af sporet - eller hvis - som i dette tilfælde - lovgivning ikke er overholdt.

Og så lad os for pokker få de whistleblowerordninger i det offentlige. En del af disse skandaler kunne måske fanges lidt tidligere på den måde.

Bjarne Nielsen

ER det ikke typisk allerede indregnet i lønnen, at lederne burde stå med disse store ansvar?

Jeg kan ikke få mit hovede omkring, hvordan de lønninger er stukket af fra enhver form for virkelighed, så det kan jeg ikke svare på.

Offentlige ledere skal vel som hovedregel kun stå på mål for egne handlinger og undladelser. Så hvis man opfinder et objektivt ansvar, så må det lægge ud over det. Også den megen snak om at være konkurrencedygtige og kunne tiltrække rette talenter til trods, for det er at sammenligne pærer og bananer.

I det private er der anderledes for topledere, og specielt når en væsentlig del af aflønningen sker som aktier (eller ditto optioner). Så kommer man også til at stå inde for ting, som ligger udenfor ens rækkevidde; man vil få æren og riget for det, som er det rene og skære svineheld, og man vil blive klippet for uheld, som man slet ikke kunne gøre for eller gøre noget ved.

Og en del af de meget høje aflønninger er helt klart, at man har taget sig rigtigt godt betalt for at tage den risiko. At incitamenterne er blevet skæve, er også tydeligt: man har blikket stift rettet imod næste kvartalsregnskab, ofte på bekostning af langsigtet profitabilitet, eller såmænd overlevelse. Og man bliver i højere grad aflønnet for sin evne til at piske en stemning op - om sig selv, og om ens firma - fremfor evnen til at skabe resultater, endsige varige resultater.

Og den slags ting, synes jeg sådan set ikke, at der er nogen grund til at kopiere.

Jan Juel Nielsen

Mao. bliver ansvaret alt for nemt væk, hvis man prøver at gøre det personligt; man bliver nødt til at placere det organisatorisk.

Dårlig ledelse er der masser af eksempler på!
Det synes jeg dog ikke skal være styrende for en lovgivning - Så naturligvis skal der være personlige bøder for overtrædelse af lovgivningen.
Alle offentlige institutioner skal have et ledelsessystem for informationssikkerhed iht. ISO/IEC 27001, hvori der indgår en organisationsplan - netop med det formål at kunne placerer ansvar.

I øjeblikket sejler det mildest talt med sikkerheden i mange offentlige institutioner, og hvis det skal ændres bør der være alvorlige sanktioner for alle led i organisationen

Frithiof Jensen

Giv fx. SSI så stor en bøde, at de må lukke bixen , eller fyre så mange medarbejdere, at produktionen hæmmes voldsomt. Eller går i stå.


Hvis man helt summarisk fyrede ledelsen samt "kommunikations"-konsulenterne ville der väre bedre råd til böden - det er näppe i ledelsen at den forretningskritiske viden findes og man må vel også kunne regne med nogle "dynamiske effekter" af at slippe af med noget overflödigt flomme?

... Som ved sin adfärd i övrigt forgifter miljöet for den anvendelse af data som man gerne ville bygge en fremtidig forretning på!?

Log ind eller Opret konto for at kommentere