I forrige uge var den gal igen. Datatilsynets stikprøveundersøgelse i otte statslige myndigheder viste, at der i syv af dem var omfattende eller meget omfattende mangler i efterlevelsen af persondataloven.
Særligt galt stod det til med datasikkerheden i Beskæftigelsesministeriet, Sundheds- og Ældreministeriet, Vejdirektoratet og Sundhedsdatastyrelsen, der måtte lægge ryg til udtalelsen »meget kritisabelt« fra Datatilsynet.
Sanktionering af overtrædelser må antages at virke stærkt adfærdsregulerende
Høringssvar fra Advokatrådet
»Den mangelfulde databeskyttelse bekræfter desværre i vidt omfang en kedelig tendens hos de offentlige myndigheder, som vi fører tilsyn med. Vi er således tidligere stødt på de samme problemer i forbindelse med vores tilsyn med en række kommuner og med regionerne«, lød skudsmålet fra kontor- og tilsynschef Jesper Husmer Vang.
Tilsynets undersøgelse fra november 2016 viste, at der i 10 af 15 undersøgte kommuner var alvorlige fejl, mangler og brud på persondataloven. Derudover har også Rigsrevisionen løbende afdækket alvorlige sikkerhedsproblemer i det offentlige, og der er talrige eksempler på, at myndigheder er kommet for skade at lække borgeres private oplysninger.
I en af de seneste sager har uvedkommende kunnet finde andre borgeres navne og cpr-numre i Digital Pladsanvisning. Sikkerhedshullet var åbent i 80 kommuner gennem 12 år.
Ingen konsekvenser
Datatilsynet har i dag ikke andre værktøjer end at udtale kritik, udstede et påbud og så ellers krydse fingre for, at den kritiserede part tager dem alvorligt. Men det er det, som regeringen nu – efter to et halvt års pres fra Folketinget – vil ændre på med en ny databeskyttelseslov, der træder i kraft 25. maj 2018.
»Borgerne i Danmark skal kunne være trygge ved, at private virksomheder og offentlige myndigheder beskytter vores personlige oplysninger og har styr på sikkerheden«, lyder kommentaren fra justitsminister Søren Pape Poulsen (K).
Loven indfører EU’s databeskyttelsesforordning i dansk lov, og når den træder i kraft, risikerer private virksomheder bøder på 150 millioner kroner eller fire procent af deres globale omsætning.
Sanktionering af myndigheder er derimod op til hvert enkelt medlemsland:
»Der bør være en ligestilling mellem offentlige og private aktører, og regeringen ønsker at sende et signal til offentlige myndigheder om vigtigheden af, at de overholder reglerne i forordningen«, fortsætter mailen fra justitsministeren.
Bøderammen bliver, afhængig af overtrædelsens grovhed, op til fire procent af en myndigheds driftsbevilling, dog maksimalt 16 millioner kroner.
Med lovforslaget er der tale om lidt af en kovending. Justitsministeriet har både i de tidlige forhandlinger i Bruxelles samt løbende over for Folketinget argumenteret imod bødestraffe for myndigheder. Ministeriet skrev i januar 2016 til Folketinget, at bøder ikke vil have nogen præventiv effekt, når offentlige kroner fra en kasse alligevel lander i statskassen. Et andet argument var, at der inden for den offentlige sektor »gælder særlige regler om fordeling af ansvar, ligesom det er en tjenestepligt at overholde retsregler«.
Ifølge Politikens oplysninger er der i Justitsministeriet også en latent frygt for, at indførelse af bødestraf til myndigheder på et lovområde vil medføre politiske krav om det samme på andre.