Regeringen vender det blinde øje til centralt spørgsmål om datasikkerhed

Regeringen går ikke tilstrækkeligt op i datasikkerhed, mener dagens debattør Rikke Hvilshøj. Fold sammen
Læs mere

Regeringen har sendt et udkast til databeskyttelseslov i høring, der til maj næste år skal erstatte den nuværende persondatalov. Centralt i lovforslaget er, at private virksomheder, der sjusker med at beskytte persondata, risikerer bøder i millionklassen. Derimod har man valgt at vende det blinde øje til spørgsmålet om, hvilke sanktioner, der skal ramme offentlige myndigheder, der gør det samme.

»Stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår,« står der i lovudkastet.

At man vælger ikke at tage stilling til spørgsmålet, kan undre. For regeringen har i flere år vidst, at den skulle tage stilling.

Den nye databeskyttelseslov gennemfører således EUs persondataforordning, som EUs politiske organer blev enige om for mere end et år siden, men hvis grundelementer har været kendt længe før. Blandt andet at private virksomheder skal kunne straffes med høje bøder, mens det skal være op til de enkelte lande at beslutte, hvilke sanktioner, der skal ramme offentlige myndigheder.

Det var bl.a. også derfor, at en arbejdsgruppe under Retsudvalget – der vel at mærke talte samtlige partier – tilbage i 2015 kunne skrive: »Arbejdsgruppen mener, at offentlige myndigheder og private virksomheder bør gøres til genstand for samme sanktionsmuligheder, og noterer sig, at denne ligestilling efter arbejdsgruppens opfattelse også er udgangspunktet i det foreliggende forslag til forordning.«

Borgernes retfærdighedssans

Arbejdsgruppen anbefalede således, at også offentlige myndigheder skal kunne straffes med bøder, hvis de ikke behandler data sikkert. Når man i lovudkastet alligevel vælger ikke at tage stilling til spørgsmålet, kan man frygte, at det er, fordi man ønsker at forsætte den nuværende praksis med at lade myndigheder slippe med en påtale. Hermed vil der opstå situationer, hvor f.eks. et privat hospital får en stor bøde, mens et offentligt hospital slipper med en påtale for samme brud på persondatasikkerheden.

Det vil være uholdbart for borgernes retfærdighedssans.

Offentlige myndigheder kan ikke forvente, at borgerne kan fastholde tilliden til IT-sikkerheden i det offentlige, hvis det offentlige kræver mere nænsom behandling, når de sjusker med datasikkerheden.

Heldigvis hører det til undtagelserne, at det offentlige ikke passer på data. Men nogle gange går det galt. Og fordi danskerne på de områder, som det offentlige varetager, ikke kan vælge en anden leverandør, kan man argumentere for, at der påhviler det offentlige en særlig forpligtigelse til ikke alene at passe på borgernes data, men også gøre alt for at signalere at de gør det.

Muligheden for bøder til myndigheder for datasjusk vil være et godt signal om, at myndigheder prioriterer datasikkerheden højt og ikke er bange for at stå til ansvar på samme måde som private virksomheder.