Den ene dataskandale efter den anden med læk af personfølsomme oplysninger som CPR-numre, kreditkortinformationer og fejlfremsendte sundhedsoplysninger har for alvor sat fokus på, at behandling af personfølsomme oplysninger skal tages alvorligt.
Det kræver mere viden, uddannelse af medarbejdere, efterlevelse af gældende regler og flere krav til leverandører om datasikkerhed, lød det blandt andet fra et bredt panel af aktører fra både offentlige myndigheder, organisationer og private selskaber, der enten arbejder med personfølsomme oplysninger eller behandlingen af dem.
Det var en arbejdsgruppe under Folketingets Retsudvalg, der onsdag stod bag »Høring om offentlige myndigheders behandling af personoplysninger«, der gik ud på at sætte fokus på problemer og mulige løsningsforslag til, hvordan behandlingen af personfølsomme oplysninger behandles i det offentlige.
Målet er ifølge arbejdsgruppens formand, Venstres medlem af Folketingets Retsudvalg Karsten Lauritzen, at gruppen omkring nytår er klar med en opfordring til regeringen om, hvilke initiativer til for at øge beskyttelsen af personfølsomme oplysninger.
»Beskyttelse af personfølsomme oplysninger har fået meget opmærksomhed den seneste tid - og er blevet aktualiseret af en række sager som Se og Hør-sagen og og CSC-hackersagen. Formålet med denne høring er at blive klogere på, hvordan sikkerheden er og kan øges i forhold til beskyttelse af personfølsomme oplysninger i den offentlige sektor,« lød det fra Karsten Lauritzen, der under høringen henviste til, at der vil komme en opfordring til regeringen, som så kan vælge at lytte til den eller lade være, men at der også kan være medlemmer af arbejdsgruppen, som vil presse yderligere på, hvis den vælger ikke at lytte.
Onsdag kom der da også et svar fra justitsminister Mette Frederiksen (S) et svar om, at regeringen er meget enig i, at det er nødvendigt at undersøge behovet for nye initiatver i forhold til beskyttelse af personoplysninger.
Det kom i forbindelse med et svar relateret til nedsætelsen af to parlamentariske arbejdsgrupper under henholdsvis Folketingets Retsudvalg og Kulturudvalg, som skal undersøge mulighederne for en bedre beskyttelse af personfølsomme oplysninger og et effektivt tilsyn med offentlige institutioner såvel som privatevirksomheders behandling af dem. Heri blev justitsministeren bedt om at svare på, om ministeren så også aftede at tage de initiativer, som beretningen kommer til at pålægge ministeren at tage.
»Regeringen er meget enig med Folketingets Kulturudvalg og Retsudvalgi, at den seneste tids afsløringer af overvågning af en række kongelige og kendte personers brug af kreditkort mv. skal tages alvorligt. Regeringen erogså meget enig i, at det er nødvendigt at undersøge behovet for nye initia-tiver i forhold til beskyttelse af personoplysninger,« lyder det i svaret fra Mette Frederiksen.
Heri henviser hun blandt andet til, at den tidligere justitsminister Karen Hækkerup (S) har bedt om en kortlægning af oplysninger om borgernes elektroniske betalinger mv., da Se og Hør/Nets-sagen om overvågning af kendte kreditkortoplysninger kom frem.
»Viser det sig herefter, at der er brug for nye initiativer på området, vil de blive gennemført. Og det gælder, uanset om det er ny lovgivning, stærkere tilsyn, skrappere krav eller noget helt fjerde, der viser sig at være behov for,« skriver Mette Frederiksen i sit svar til arbejdsgrupperne under Retsudvalget og Kulturudvalget, hvori hun i øvrigt meddeler, at hun ser frem til at drøfte øvrige spørgsmål og overvejelser, som arbejdet i de to parlamentariske arbejdsgrupper måtte give anledning til.
Under selve høringen blev det i høj grad sat på spidsen, at der er flere bekymringer forbundet med behandlingen af personfølsomme oplysninger, men også henvist til, at det ikke alene er et teknisk og juridiske spørgsmål om mere sikkerhed og øget kontrol, men at der også er udfordring i at få øget bevidstheden og viden om, hvordan behandlingen af personfølsomme oplysninger skal ske for at bevare sikkerheden.
Kontorchef hos Datatilsynet Lena Andersen fokuserede netop på instruktion i en del af sit oplæg, der havde fokus på udfordringerne med at efterleve de eksisterede persondatalovskrav.
»Der er et udtrykkeligt krav om instruktion og tilsyn i loven. Og jeg er sikkerhed på, at der hos rigtig mange myndigheder bliver givet en god instruktion, men jeg er nødt til at sige, at det må kunne gøres bedre. Der er behov for mere instruktion - helt generelt. Det digitale Danmark kan udvikle nok så mange nye og sikre løsninger, men hvad nytter det, hvis medarbejderne ikke bruger dem - eller bruger dem forkert,« lød det fra Lena Andersen.
Herunder henviste hun blandt andet til dagligdagsopgaver som det at sende e-mails, hvilket skal gøres sikkert, når de rummer personfølsomme data. Ifølge Lena Andersen oplever Datatilsynet imidlertid mange eksempler på, at der eksempelvis bruges almindelig e-mail til at sende fortrolige personfølsomme oplysninger, eller at de sendes til forkerte modtagere. Samtidig oplever Datatilsynet også mangler i forhold til adgangsbegrænsning, hvor der er eksempler på, at for mange medarbejdere har adgang til for mange følsomme oplysninger i deres dagelige arbejde.
Formand for Foreningen af Kommunale it-chefer, Henrik Brix, der er IT- og digitaliseringschef i Favrskov Kommune, understregede dog under høringen, at IT-systemerne, når det gælder kommunerne, er indrettet, så de overholder lovene - og at de gør det i vid udstrækning, selvom der har været eksempler på problemer nogle steder.
»Med andre ord: Der er slet ikke bare frit slag for medarbejdere i forhold til behandling af personfølsomme data. Derudover kan medarbejderes digitale aktivitet spores, og der foretages stikprøver. Ligesom vi har en obligatorisk undervisning i sikkerhed,« forklarede Henrik Brix.
Han henviste samtidig til, at der som reaktion på eksemplet med læk af CPR-numre fra et kommunalt IT-system henover sommeren er blevet udviklet en CPR-skanner, der skal kontrollere kommunernes hjemmesider for CPR-numre.
Da medlem af Retsudvalget fra Socialdemokraterne Trine Bramsen bad talerne på høringen angive det vigtigste område at sætte ind, blev der fra flere kanter da også henvist netop til øget "awareness" og behov for mere viden.
Chefkonsulent Steen Bernt Jensen fra Rigsrevisionen, der i slutningen af 2013 konkluderede i en rapport, at der var for lidt styr på datasikkerheden hos offentlige myndigheder, henviste imidlertid også til, at viden om problemet ikke altid leder til, at der bliver gjort noget.
Her henviser han til, at et af de registrerede problemer i undersøgelsen fra 2013 eksempelvis var, at offentlige virksomheder som kunder ikke havde taget de fornødne forholdsregler, der kræves i forhold til at lave en databehandlingsaftale med sin leverandør. Og at erfaringerne hos Rigsrevisionen er, at det billede ikke har forandret sig.
»Vi har efterfølgende lavet en systematisk undersøgelse, hvorfra vores erfaringer viser, at det ikke er i alle tilfælde, at de gældende krav efterleves. Og situationen er stadig den samme, hvad angår databehandlingsaftaler. Vores konklusion er, at mange statslige virksomheder har ikke har gjort sig de fornødne foranstaltninger,« sagde Steen Bernt Jensen under høringen, hvor han henviste til, at det dermed ikke kun er viden om de manglede foranstaltninger, der spiller ind.
Onsdagens høring er et led i arbejdet hos to arbejdsgrupper under henholdsvis Folketingets Retsudvalg og Kulturudvalg. De blev etablret i sommer med henblik på at undersøge behandlingen og ikke mindst beskyttelsen af personfølsomme oplysninger - og nå frem til, hvordan behandlingen af danskernes personlige oplysninger bliver yderligere sikret.
Arbejdsgruppenre har efter en høringsrunde blandt udvalgte aktører fået omkring 30 svar med bud på, hvad der skal gøres for at forbedre behandlingen af personfølsomme oplysninger både i det offentlige og i private virksomheder
Heri lyder det fra flere kanter opfordres der til, at kredsen af eksperter udvides i arbejdet med at finde løsninger til en øget sikring af personfølsomme oplysninger, ligesom flere interessenter i den forbindelse gerne stiller sig til rådighed for arbejdet.
Flere opfordrer til en styrkelse af ressourcerne til at undersøge, hvordan behandling af persondata forgår og til at håndtere de sager, der måtte komme på området. Ligesom der fra flere kanter også opfordres til en mere systematisk gennemgang af, om gældende regler overholdes.
»Der er igangsat en kortlægning af sikkerheden ved betalingskort. Dette arbejde kan imidlertid ikke stå alene, og der er behov for en bredere undersøgelse af, hvordan man forbedre sikkerheden ed behandling af personoplysninger i den offentlige sektor,« skriver Institut for Menneskerettigheder.
I svaret herfra henvises der til en mulig brug af såkaldte privacy konsekvensanalyser som ikke er obligatoriske i Danmark, men eksempelvis har været fast praksis i Canada i flere år. Her er udgangspunktet, at der foretages en risikovurdering med udgangspunkt i borgerens ret til beskyttelse - hvilket bl.a. indebærer, at borgeren ikke skal identificeres, med mindre det er strengt nødvendigt i den konkrete situation.
Også Forbrugerrådet Tænk opfordrer i sine løsningsforslag til, at det bliver obligatorisk for både offentlige og private virksomheder at foretage privatlivs kongeveksnanalyser - samt at indarbejde privatlivsfremmende teknologier både i nuværende og kommende IT-løsninger.
Det digitale privatliv - eller manglen på samme - er for generelt blevet en højt prioriteret del af den digitale verden, og hvordan både privatpersoner og offentlige og private virksomheder skal agere her. Ligesom de danske politikere har sat beskyttelsen af personfølsomme data under lup, arbejdes der fortsat på et nyt og strammere sæt databeskyttelsesregler fra EU.
Det er der blevet arbejdet på siden 2012 som afløsning for de nuværende, der stammer helt tilbage fra 1995. De skal ensrette de 28 medlemslandes lovgivning, herunder give dem mere styrke til at håndtere udfordringer fra internet- og teknologiselskaber fra lande uden for EU.
Høringen om beskyttelse af personfølsomme oplysninger kan ses på Folketingets hjemmeside.