Det var i forbindelse med en omflytning i børneforvaltningen, at det gik galt i Norfolk County Council.
Flyttefolkene afhentede et arkivskab, som forvaltningen i det østengelske amt ikke havde brug for mere. Skabet blev overdraget til en antikvitetshandler, der solgte det videre til en britisk borger.
Hjemme i stuen fik personen sig lidt af en overraskelse: Arkivskabet viste sig at indeholde personfølsomme oplysninger om syv udsatte børn, som forvaltningen havde behandlet sager om.
Norfolk County Council blev af ICO – det britiske datatilsyn – i marts 2017 idømt en bøde på en halv million kroner for at overtræde persondataloven.
Herhjemme kunne det aldrig ske. Altså at en myndighed får en bøde for at overtræde persondataloven. Eksemplerne er ellers talrige på, at myndigheder har ladet borgernes private oplysninger, såsom navne og cpr-numre, flyde ubeskyttet rundt på world wide web.
Personnumre og lønsedler flyder
En af de aktuelle sager handler om, hvordan man i Digital Pladsanvisning i 80 kommuner har kunnet få oplyst andre borgeres navne og cpr-numre – og det gennem 12 år. Finans.dk fortalte forleden, hvordan uvedkommende i det samme pladsanvisningssystem også kunne få adgang til andre borgeres lønsedler.
Foruden krænkelsen af privatlivets fred medfører brud på datasikkerheden, at borgere risikerer misbrug, afpresning eller identitetstyveri. Det ser politiet i et eksplosivt stigende antal sager.
Men kommunerne og andre myndigheder risikerer under de nuværende regler alene en kritik fra Datatilsynet og et påbud om at få styr på it- og datasikkerheden. Private virksomheder kan få bøder under den nuværende lov, men strafniveauet har været begrænset til beløb på 5.000-25.000 kroner. En organisation som Dansk Erhverv har blankt erkendt, at persondataloven ikke er noget, man har taget synderligt alvorligt. Indtil nu.
Borgmester holdt i uvished om Applekøb: »Jeg har først fået at vide, hvem det var i søndags«For nye fælleseuropæiske regler hæver bødestraffene markant, så virksomheder under den nye danske databeskyttelseslov risikerer bøder på op til 150 millioner kroner. Konsekvensen ved at bryde reglerne vil altså stige med en faktor 6.000 i forhold til niveauet i dag. Erhvervslivet investerer i denne tid derfor store summer på at højne sikkerheden og få styr på deres opbevarede persondata inden 25. maj 2018, når den nye lov træder i kraft.
Står det til Justitsministeriet, skal det offentlige stadig friholdes for straf. Embedsværket har i de tidligere politiske forhandlinger i Bruxelles og over for Folketinget argumenteret for, at myndigheder ikke bør kunne tildeles administrative bøder for datasjusk.
Og mens de tårnhøje bøder til firmaer er dikteret fra Bruxelles, blev det overladt til medlemslandene, hvordan de vil sanktionere det offentlige.
»Justitsministeriet finder ikke, at offentlige myndigheder og private virksomheder bør gøres til genstand for samme sanktionsmuligheder«, lød det i et svar til Folketinget 14. januar 2016.
Ministeriet fremfører som et argument, at det ikke vil have nogen præventiv effekt, når offentlige kroner fra en kasse alligevel lander i statskassen. Et andet argument er, at der inden for den offentlige sektor »gælder særlige regler om fordeling af ansvar, ligesom det er en tjenestepligt at overholde retsregler«.
Men ministeriet og den samlede regering bliver presset af Folketinget. Siden januar 2015 har alle partier – også de nuværende regeringspartier – fremført et klart ønske om at straffe myndigheder for at tvinge dem til at beskytte data bedre.
Trekløverregeringen er i syv sind. Justitsminister Søren Pape Poulsen (K) har i to uger ikke villet tage stilling til spørgsmålet. Og da ministeriet fredag klokken 17.00 sendte et længe ventet udkast til den nye databeskyttelseslov i høring, rummede det følgende passus: »[Stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår]«.
Men af hensyn til samfundet og tilliden til digitaliseringen bør der ikke være større tvivl, mener juridiske eksperter.
Overblik: Derfor lægger it-giganter sig i Viborg, Aabenraa og Odense»Om der kommer bøder eller ej, er simpelthen afgørende for, om datasikkerheden vil blive øget, og om myndigheder vil leve op til den nye lovgivning. Vi kan allerede nu se, hvordan bøderne har en afskrækkende virkning i det private – signalværdien vil resultere i, at myndigheders ledelser får et meget større fokus på datasikkerhed. Det fokus vil trække en øget informationssikkerhed med sig, og det vil være enormt samfundsgavnligt«, siger lektor Hanne Marie Motzfeldt, der forsker i digital forvaltningsret ved SDU.
Bøde til privathospital, ikke region
Hun fremhæver desuden det potentielle paradoks i, at en identisk sikkerhedsbrist fra maj 2018 vil kunne koste et privathospital en klækkelig bøde, mens regionens hospital går fri. Det samme gælder privatskoler og nogle selvejende institutioner over for de kommunale.
Hanne Marie Motzfeldt har aldrig tidligere set et eksempel på, at en regering har sendt et lovudkast i høring uden at have sin politik på plads.
»Hvis den bagvedliggende grund til modstanden mod at sanktionere myndigheder er, at man ved, at it-sikkerheden halter så gevaldigt i det offentlige, så kunne man i stedet overveje en overgangsperiode med relativt lave bøder. Og så skrue op for niveauet efter et år eller to«.
I Folketinget fastholder regeringspartierne V og LA, at de ønsker bødestraf også til myndigheder. Oppositionen vil nu tvinge regeringen til at makke ret.
»Det er simpelthen så absurd det her. For to et halvt år siden lavede et enigt retsudvalg en beretning om, at det offentlige selvfølgelig skal sanktioneres på linje med virksomheder, og regeringen har stadig ikke taget sig sammen til at tage stilling. Vi er det mest digitale land i verden, så vi kan altså ikke lade være med at sanktionere hårdt, hvis der sker sjusk med data i det offentlige«, siger Lisbeth Bech Poulsen, SF’s it- og retsordfører.
Dansk Erhverv finder det skævvridende for konkurrencen, men også problematisk for hele digitaliseringen, hvis ikke også myndigheder kan bødestraffes.
»Vi frygter, at regeringen er ved at udskrive en fribillet til den offentlige sektor. Det ville være gift for den digitale fremtid, fordi danskerne skal kunne have tillid til at dele deres data«, siger digitaliseringschef Janus Sandsgaard.
I Sverige, der har en sammenlignelig offentlig sektor, har regeringen lige foreslået, at myndigheder skal kunne få bødestraffe på op til 20 millioner svenske kroner for overtrædelser af databeskyttelsesloven.
fortsæt med at læse
