Kæmpebøder på vej mod datasjusk

9. maj 2014 kl. 10:3618
Kæmpebøder på vej mod datasjusk
Illustration: S. Solberg J..
EU arbejder på at reformere reglerne for databeskyttelse. Blandt andet med at udstede bøder op til 750 millioner kroner for brud på persondataloven. Det vil øge den generelle datasikkerhed, lyder det fra flere sider.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Mens de udenlandske og indenlandske diskussioner om datalækager skyller ind over os, foregår der et større reformarbejde i EU om reglerne for databeskyttelse i Europa.

Spørgsmålet er, om reformen, der har karakter af en EU-forordning, får betydning for den seneste tids historier om datahåndtering.

Anette Høyrup, der er seniorjurist i Forbrugerrådet Tænk, mener, at datareformen generelt vil forbedre beskyttelsen af borgernes persondata, og hun peger blandt andet på, at den lægger op til det, hun kalder indbygget sikkerhed i de systemer, der håndterer persondata.

»Kravet om indbygget datasikkerhed vil betyde, at en medarbejder ikke ville kunne sidde i fire år og hente data fra en server, uden at det ville blive opdaget,« siger hun med henvisning til den verserende sag om lækkede betalingskortdata fra Nets til ugebladet Se og Hør:

Artiklen fortsætter efter annoncen

»Der er kæmpe forskel på, at man som medarbejder skriver under på, at man ikke er nysgerrig, og så at lave en sikkerhedskontrol i selve systemet. Altså en teknisk beskyttelse af oplysningerne.«

Desuden hæfter Anette Høyrup sig ved, at datareformen lægger op til et større samarbejde mellem europæiske datatilsyn.

Charlotte Bagger Tranberg, persondataspecialist hos advokatfirmaet Bech-Bruun, fremhæver, at bødeniveauet for brud på persondataloven kan blive op til 5 pct. af omsætningen med et loft på 100 millioner euro.

»Der er ingen tvivl om, at det forhold, at bødeniveauerne bliver højere, vil betyde, at der kommer et helt andet fokus på området, end der har været tidligere, hvor private virksomheder kun har fået en bøde på højst 25.000 kroner.«

Respekt for EU’s regler

Også i lyset af sagen, hvor en New York-domstol har beordret Microsofts datterselskab i Irland til at udlevere personoplysninger, vil datareformen betyde forbedringer, påpeger justitskommissær Viviane Redings talsperson, Mina Andreeva, i en e-mail til Ingeniøren:

»Europa-Parlamentet har med dets stemme på EU’s databeskyttelsesreform bekræftet – og faktisk skærpet – princippet om, at virksomheder, der opererer på det europæiske marked, skal respektere de europæiske regler for databeskyttelse – også selvom de (virksomhederne, red.) befinder sig i USA.«

Skærpelsen er en tilføjelse om, at data kun kan udleveres til amerikanske myndigheder, hvis den nationale databeskyttelsesmyndighed har givet grønt lys til det.

Det oprindelige reformforslag blev fremlagt af EU-Kommissionen i 2012. Det har derefter været behandlet i Europa-Parlamentet i marts i år. Nu ligger bolden hos EU’s ministerråd.

Professor ved Det Juridiske Fakultet på Københavns Universitet Peter Blume er forbeholden over for det nuværende reformarbejde, som han mener i stort omfang vil kunne rummes inden for det eksisterende databeskyttelsesdirektiv fra 1995.

»Jeg siger ikke, det ikke går fremad, men det går ikke fremad med de der kæmpe skridt, som nogle vil gøre det til,« siger han.

Ifølge Peter Blume er der dog nogle forbedringer i den igang­værende reform, blandt andet oplysningspligten, hvor dataansvarlige skal rette henvendelse til myndigheden for databeskyttelse, såfremt der sker brud på databeskyttelsen.

»Men man skal selvfølgelig være opmærksom på, at selvom der er en pligt, er det jo ikke det samme, som at der bliver givet meddelelse.«

Hvad angår overvågning fra efterretningstjenester som amerikanske NSA mener Peter Blume ikke, den nye forordning vil batte noget.

»For det første er NSA jo en amerikansk virksomhed, der slet ikke er omfattet af forordningen. Det kan de være ligeglade med. For det andet så gælder forordningen, ligesom med direktivet, ikke for behandling af personoplysninger inden for na­tional sikkerhed,« siger han.

18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
11. maj 2014 kl. 21:14

Hvorfor ikke også fratage en virksomhed retten til at behandle og opbevare personfølsomme data?

Hvad med at genbruge lidt fra færdselsloven. Tre gentagende overtrædelser medfører et forbud mod behandling og opbevaring af personfølsomme data.

16
11. maj 2014 kl. 02:36

Der skal fængselsstraf til. Det skal betragtes som spionage at udlevere følsomme persondata til fremmede magter, og straffes som sådan.

Om det så skal være den enkelte medarbejder eller Microsofts topchef er en anden diskussion.

15
9. maj 2014 kl. 17:03

Måske skulle vi se det i lidt større perspektiv. Magthaverne er ikke interesseret i at slippe data, de skubber på for at får så store databanker som muligt især Skat. Skat har i forvejen ingen skrupler og overskrider 238 love for at få "deres retmæssige adgang til data".Det er selvfølgelig kedeligt med en sådan snagen, men så længe Se og Hør lovligt kan udgives vil det fortsætte. Sammenligner vi med indbrud er skaden jo dog mindre (afh af typen af indsigt selvfølgelig) og i Danmark bruger man slet ikke energi på at begrænse indbrud. Vi rangerer lavest i hel EU Danmark er adskillige gange ringere end Chigago. Overfører vi nogen af de fremførte betragtninger skal vi jo alle bo en betonbunker med gitre for og pitbull terrier som en anden rockerborg. Er det vi vil? jeg synes først der skulle ske lidt mere på retshåndhævelsen. Det er for ringe at direkte lovovertrædelser kræver personlig politianmeldelse. Generelt synes jeg retshåndhævelsen er alt for sløv. Husk også at de fleste indbrudstyve, der bliver 'fanget' slipper med et påbud. Der skal ofte adskillige indbrud til før der sker noget 'alvorligt', som så bliver eftergivet af fængselsvæsenet.

14
9. maj 2014 kl. 16:23

Nu kommer hævnlysten vist op i folk. Tag nu lige og tænk over straframmer generelt og så sammenhold med alvorligheden. Det giver jo ikke nogen mening med så stor straf, hvis forbrydelsen og skaden på personer og/eller samfundet er lille. Sammenlign evt. med økonomisk kriminalitet; her er straffen ikke synderlig høj, MEDMINDRE det er særlig grov (samfundsskadelig typisk) karakter. Det samme gør sig iøvrigt gældende for den såkaldte "hacker"paragraf; her er der også skærpende omstændigheder som øger straframmen

17
11. maj 2014 kl. 03:34

Kevin nu laver vi normalt ikke i Danmark, love med tilbagevirkende kraft.

De høje straffe, skal tvinge, både bestyrelse og daglig ledelse til at tage person data beskyttelse alvorligt.

Allerhelst så jeg også en straf til de politikere, der ikke mener at person data sikkerheden betyder det store.

Det burde endvidere være muligt for alle, at være medbestemmende om deres data, fra for eksempel sygdoms forløb skal kunne udleveres til forskere.

Vi kan kun få firmaer til at overholde loven, hvis de højest rangerende i de forskellige firmaer ved at de ved en overtrædelse, ved at der venter dem en fængselsstraf.

Så det jeg mener er at vi med de høje straffe, skal forhindre fremtidige lækager fra firmaers databaser. Vi tvinger ledelsen og bestyrelsen til at tage et ansvar for sikkerheden.

10
9. maj 2014 kl. 15:35

Der bør ikke være nogen øvre bødegrænse eller også skal den være sv.t f.eks 50% af pågældende virksomhedsomsætning. Det skal både være den medarbejder som begår ulovligheder såvel som ledelsen, der skal kunne straffes med fængsel. Medarbejderen med op til livsvarig fængsel. Ledelse med op til 10 års fængsel. I den aktuelle Se & Hør sag kunne en passende bøde være 50 % af Aller koncernens omsætning i 2013 og fængselstraf til chefredaktører uden at der var forældelsesfrist. Pågældende medarbejder burde sættes bag tremmer i de næste 10-15 år. Men man kommer aldrig uden om at noget tilsvarende kan ske på ny - blot bør konsekvenserne være så kontante at de fleste afstår fra at gøre noget tilsvarende og de ansvarlige (=ledelse) sørge for at ordentlig virksomhedskultur.

13
9. maj 2014 kl. 15:56

Pågældende medarbejder burde sættes bag tremmer i de næste 10-15 år.

Det er ikke nødvendigt med så voldsom en straf for at virke afskrækkende, og det koster en formue at holde nogen i fængsel så lille. Endvidere er sandsynligheden for re-integration i samfundet derefter begrænset, hvorfor vedkommende sandsynligvis vil udgøre en yderligere byrde for socialvæsenet (hvis han da ikke direkte fortsætter i kriminalitet). Det virker helt uden for proportioner.

9
9. maj 2014 kl. 15:29

Stortset alle IT-systemer har huller og er i princippet usikre. Det være sig banker, forsikringsselskaber, politiets, betalingsformidlernes

Man bør derfor gå efter straf til de kriminelle som det primære.

Jeg ved godt at mange vil påstå det modsatte - netop at DERES system er sikkert. Men sandheden er at virksomheder med mange systemer, en stor medarbejderstab og mange eksterne leverandører har en stor sandsynlighed for at have bagveje og bugs.

Virksomhederne bør da heller ikke straffes for offentligt at melde ud når de har fundet et hul eller for at anmelde et indbrud. Vi har behov for transparens og deling af informationer med resten af branchen hver gang der sker et dataindbrud.

11
9. maj 2014 kl. 15:38

Det er vel ingen undskyldning at de har en stor medarbejder stab. Det grundlæggende må være at bestyrelsen og ledelsen tager data sikkerheden alvorligt.

Alt andet er udenomssnak.

8
9. maj 2014 kl. 14:59

Det eneste der nok vil hjælpe er minimum 5 års fængsel til både ledelsen og bestyrelsen i det selskab der ikke sikrer deres brugers data godt nok.

Hvis der, som i tilfældet med Nets er en intern medarbejder skal straffen for vedkommende være minimum 10 års fængsel, plus naturligvis stadigvæk straffen til ledelse og bestyrelse, fordi de ikke har varetaget sikkerheden.

Hvis ledelse og bestyrelse skal slippe for straf, må misbruget højest have fundet sted i 1 måned.

6
9. maj 2014 kl. 14:18

Virksomheder af den størrelse der er problemet her, er lynhurtige til at afvejde de økonomiske konsekvenser af en handling, så giv dem bare en fast pris, i stedet for udsigt til at det måske ikke er helt så dyrt...

5
9. maj 2014 kl. 14:08

Mon dog ikke !

Men man kunne jo starte med et objektivt og solidarisk ansvar og fx give 1000Kr pr person og hændelse i erstatning ved persondata exponering

Nogle firmaer og myndigheder ville så gå konkurs.

Da chefer jo typisk er aflønnet på basis af økonomisk resultat vil de næppe i fremtiden være villige til at løbe de sikkerhedsricici de gør i dag

Det drejer sig om at gør usikker pooling af mange data så økonomisk ricikabel at de begrænser sig.

En hel anden side af samme problem er at systemfejl får skylden for alle svagheder. Samme løsning når man sparer med enorme ricici til følge har man også påtaget sig en personlig og organisatorisk riciko.

Så alt i alt det skal ikke i fremtiden være konsekvensfrit at se bort fra IT kvalitet

4
9. maj 2014 kl. 14:05

I de fleste tilfælde bliver dataoverførslen ikke opdaget, men sker i det skjulte. Det er nødvendigt at man kun benytter firmaer, som har hovedkvarter i EU, til at opbevare og håndtere vigtige data.

1
9. maj 2014 kl. 13:02

Bøder betales af firmaet hvorved den enkelte person kan være ligeglad og ledelsen kan regne koldt på om det kan svare sig. Sæt bøde på OG fængselsstraf til ledelsen, 3-4 år bag tremmer vil helt sikkert afskrække mere end 750 milioner i bøde.

3
9. maj 2014 kl. 13:22

Min holdning er nærmere tvangslukning, eller idm ophævelse (evt efterfulgt af genforhandling hvis nogen tør) af alle kontrakter, firmaet har indgået med danske aktører.

2
9. maj 2014 kl. 13:18

Sæt bøde på OG fængselsstraf til ledelsen

Jeg ved godt at det er ledelsens ansvar at sikkerheden er i orden, men hvad kan de gøre ved at en medarbejder bryder alle regler? Ledelsen hverken kan eller skal da følge med i alle opgaver.

12
9. maj 2014 kl. 15:42

Ledelsen hverken kan eller skal da følge med i alle opgaver.

Alt kan de ikke følge med i, men f.eks i den nuværende Nets-sag, har de ikke levet op til deres ansvar. De både kan og skal følge nok med, til at det ikke burde være sket. Det er deres ansvar at have overblikket, og også at opdage dårlige led.

Deres arbejde skal tages meget seriøst, og det er det ikke blevet.

7
9. maj 2014 kl. 14:47

Som borger der det mig ligegyldigt hvordan ledelsen sikre sig at love og regler overholdes bare de gør det. Kan de ikke sikre at mine personlige data forbliver personlige har de svigtet og må tage konsekvensen. At en medarbejder lækker data er ledelsens problem da de netop ikke har taget sikkerheden alvorligt nok og ikke gjort nok. Når alt så er sagt ja der vil være tilfælde hvor ledelsen vil stå magtesløs men så må de bevise at de har gjort ALT for at imøde går data læk og her gælder økonomi ikke som en undskylding. Hvis virksomheden ikke har haft økonomi til at sikre data ordenligt så skal de ikke håndtere dem.