Efter svensk IT-skandale: Ja, det kan ske i Danmark

Den eneste forskel mellem Danmark og Sveriges IT-sikkerhed er, at læk og skandaler får konsekvenser i Sverige. Sådan kan man kort opridse status på det offentlige Danmarks datasikkerhed. Det er uforståeligt, at danske politikere ikke prioriterer datastikkerhed og -etik højere. Der er ufattelige ressourcer at hente i data, og dem skal vi som samfund høste. Vi kan lære af vores erfaringer med grøn omstilling.

I forbindelse med den meget omtalte IT-skandale i Sverige røg en offentligt ansat direktør og to ministre, fordi persondata var blevet lækket af det svenske transporttilsyn. Som i Danmark udliciterer offentlige instanser i Sverige ofte deres IT-opgaver, og i denne sag var hele det svenske kørekortsregister i hænderne på udenlandske it-medarbejdere, som ikke var sikkerhedsgodkendt til opgaven. De har håndteret både navne og billeder på personer med hemmelige identiteter som fx agenter eller folk under vidnebeskyttelse. Det rejser nu spørgsmålet: Kan det samme ske i Danmark?

Svaret er: Ja, det kan det. Vi har allerede haft lignende sager. De havde bare ikke konsekvenser. Et godt eksempel er sagen om CSC i 2012, hvor hackere fik adgang til Rigspolitiets registre og kunne hente oplysninger om 90.000 dømte personer. Registrene stod åbne i fem måneder. Et andet eksempel er Statens Seruminstitut, der i fjor mistede CPR-numre på 90% af den danske befolkning, da de sendte to ukrypterede CD’er, som ved en fejl landede hos en afdeling af den kinesiske visumvirksomhed Cits. Det danske datatilsyn vurderede, at hændelsen ikke havde nogen faktiske konsekvenser for de over 5 mio. personer, hvis data var indeholdt på CD’erne. Tilsynet foretog sig derfor ikke yderligere i sagen.

Der var i begge tilfælde ingen bøder, ingen hoveder, der røg, ingen konsekvenser for de ansvarlige.

I Sverige har der heller ikke været nogen faktiske konsekvenser for dem, hvis data er lækket – i hvert fald ikke endnu. At der ikke blev værnet tilstrækkeligt effektivt om så følsomme persondata var i sig selv nok til en regeringsrokade, hvor to ministre mistede jobbet, mens direktøren for Transportstyrelsen tidligere var blevet fyret. Det er en sådan en kultur, hvor datasikkerheden topprioriteres, vi er nødt til at fremme i Danmark.

Vi er i begyndelsen af en ny datatidsalder, hvor indsamlingen, lagringen, analysen og brugen af persondata er vokset eksponentielt i den private såvel som den offentlige sektor. I Danmark har Datatilsynet, der både skal korrekse og forebygge, dog samtidig fået færre ressourcer. Og Justitsministeriet har i relation til den kommende EU-persondataforordning, GDPR, der træder i kraft i maj 2018, formået at sikre, at den offentlige sektor i Danmark går helt fri af straf for datamisbrug og datalæk. Det er kun Estland, der gør det samme. Samtidig opfordrer Justitsministeriet i sin betænkning til GDPR den private sektor til at gøre mindst indenfor det, man kalder datakonsekvensanalyser. Det er analyser, der skal afdække databehandlingens konsekvenser og risici for den person, hvis data behandles. Dette kan give danske virksomheder med eksport til fx Tyskland problemer, da tyskerne på linje med de fleste andre EU-lande fortolker forordningen mere restriktivt.

Digital tillid på spil

Det er komplet uforståeligt, at danske politikere ikke prioriterer datastikkerhed og -etik højere. Der er ufattelige ressourcer at hente i data, og dem skal vi som samfund høste. Men hvis vi fortsætter som nu, hvor vi som samfund ikke sætter et eksempel, der viser at manglende datasikkerhed er uacceptabelt og straffes, risikerer vi, at den digitale tillid fortsætter nedad. Det vil have den konsekvens, at vi hver især gør alt for at forhindre, at virksomheder og samfund kan bruge vores data til mange gode formål. Fx sige nej til at give vores data til forskning, hvilket allerede er et problem, forskerne mærker i dag

Vi er nødt til at lære af vores erfaringer med miljøet og grøn omstilling, der har vist, at langsigtede mål og bæredygtige løsninger er afgørende. Ved at behandle andres persondata etisk ansvarligt får vi sundere borgere, fordi de ikke bliver politisk og økonomisk manipuleret med tæt overvågning, som det fx skete via Facebook ved Trump-valget. Dermed får vi også på lang sigt en sund dataøkonomi til gavn for vores samfund.

Etisk datatilgang på vej

Heldigvis ser vi allerede tiltag til en etisk tilgang til data. Hos Rigspolitiet arbejdes med et nyt datasystem, Polintel, hvor alle registre samles til mere effektiv kriminalitetsbekæmpelse. Samtidig er der meget mere fokus på, hvem i politiet der har adgang til data. Det er ifølge politiets DPO Christian Wiese Svanberg faktisk privacy-by-design, som den kommende GDPR stiller krav om.

Vi ser endnu flere dataetiske tiltag blandt private virksomheder. LEGO beskytter fx deres brugere efter alle kunstens regler. De benytter ikke tredjepart-cookies, indhenter forældresamtykke og opfordrer til brug af pseudonymer mv. Ifølge Wired har LEGO bygget et socialt netværk for børn, som ikke er creepy – netop ved at tage databeskyttelse og børns privatliv dybt alvorligt. Virksomheden skiller sig dermed ud fra konkurrenterne, og dataetik bliver et konkurrenceparameter.

Der er således inspiration at hente derude. Faktisk kan Danmark stadig nå at gå forrest og skabe et nyt ‘vindmølleeventyr’ – bare med etisk ansvarlig brug af persondata. Der skal skabes offentlige rollemodeller, der arbejder efter privacy-by-design-principper. Der skal opdyrkes en dataetisk kultur. Og de virksomheder, der gør det samme, skal fremmes. Derved vil vi kunne lukrere på det vækstmarked, som ligger forude, fordi flere og flere bliver trætte af massiv tracking, overvågning og manglende datasikkerhed.

EU kommer med reglerne, og markedet leverer efterspørgslen. Men vi skal selv skabe den dataetiske kultur, hvis det danske samfund skal nyde godt af vækstpotentialet, og hvis borgerne skal nyde godt af en effektiv beskyttelse af deres privatliv.

Offentliggjort første gang i Ræson 2.8.2017

Comments are closed.

Password Reset
Please enter your e-mail address. You will receive a new password via e-mail.