Det offentlige sløser med vores personlige data

Hvis digitaliseringen af den offentlige sektor skal blive en succes, er det afgørende, at borgerne har tillid til, at deres personfølsomme oplysninger er sikre hos myndighederne.

Ikke desto mindre udsender Data­tilsynet jævnligt rapporter om, hvor skidt det står til med datasikkerheden i mange offentlige danske institutioner. De alarmsignaler bør tages langt mere alvorligt end hidtil, mener lektor Hanne Marie Motzfeldt, der forsker i forvaltningsret og persondataret på Syddansk Universitet.

Senest har Datatilsynet undersøgt datasikkerheden i regionerne og 16 af landets kommuner, og i samtlige tilfælde udtaler tilsynet kritik, der spænder fra ”beklageligt” over ”meget beklageligt” og ”kritisabelt” op til ”meget kritisabelt”.

Sidstnævnte meget hårde kritik må to af de fem regioner og hver fjerde af de undersøgte kommuner lægge ryg til. De har ikke levet op til et eneste af undersøgelsens i alt fire kriterier for datasikkerhed i de IT-løsninger, som bruges til at betjene borgerne.

De tre andre regioner får med beteg­nelsen ”kritisabel” også hård kritik, mens det samlede billede ser lidt bedre ud hos de undersøgte kommuner, hvor knap en tredjedel kan nøjes med ”beklagelig”, fordi Datatilsynet her vurderer manglerne til at være mere begrænsede.

”Præmisserne for Datatilsynets kritik er meget klare og kan vanskeligt komme bag på juristerne i regioner og kommuner,” fastslår Hanne Marie Motzfeldt.

”De skal ifølge persondataloven føre tilsyn med deres egne IT-løsninger. Både dem, de selv driver, og dem, hvor driften er udliciteret til en ekstern leverandør. Hvis de ikke gør det, bryder de reglerne. Så når en region eller kommune falder igennem på alle de kriterier, som Datatilsynet har opstillet i undersøgelsen, og får prædikatet ”meget kritisabel”, skaber det mistanke om, at myndigheden overhovedet ikke har ført tilsyn med de IT-løsninger, som den har ansvaret for.”

Myndigheder leger med ilden

Datasikkerheden er så ringe, fordi det er et retsområde, som der ikke er særligt mange, der har interesseret sig for indtil nu, vurderer Hanne Marie Motzfeldt.

Det er nemlig langtfra første gang, at Datatilsynet udtaler kritik. Og som tilsynet selv har gjort opmærksom på i forbindelse med de nye undersøgelser, er der kun tale om stikprøvemålinger, så der kan sagtens være flere datasikkerhedsproblemer end dem, undersøgelsen fanger hos kommuner og regioner.

Datatilsynet offentliggør resultatet af sine undersøgelser på sin egen hjemmeside, men ellers er der reelt ingen sanktion mod en myndighed, der overtræder datasikkerheden. Det kan være en af forklaringerne på, at Datatilsynet år efter år og igen og igen kritiserer IT-sikkerheden hos danske myndigheder, vurderer Hanne Marie Motzfeldt.

Det afholder hende dog ikke fra at mene, at myndigheder uden styr på deres egen datasikkerhed ”leger med ilden”.

”Det kan sammenlignes med, at du som privatperson ikke opdaterer din pc, ikke holder øje med og installerer nye programmer og ikke holder dine antivirussystemer up to date. Derved åbner du en ladeport for personer, der uretmæssigt ønsker at skaffe sig adgang til dine private filer og oplysninger.”

To grelle lækager

Men det er faktisk værre endnu, for i efter­hånden ganske mange ­­tilfæl­de er det medarbejdere – enten hos myndigheden selv eller hos myndig­hedens eksterne leverandør – der begår fejl og sender borgernes person­følsomme oplysninger ud på det åbne net.

”Der mangler simpelthen opmærk­somhed på, hvordan man skal behand­le borgernes personfølsom­me oplysninger, hos mange danske myndigheder, og derfor ser vi gang på gang lækager,” siger Hanne Marie Motzfeldt.

Som et grelt eksempel peger hun på CSC-hackersagen, hvor hackere fik adgang til en række af Rigspolitiets registre, hvor de bl.a. kunne hente oplysninger om 90.000 dømte personer samt mere end en million internationalt efterlyste personer. Først da svenske myndigheder henvendte sig til dansk politi, blev man klar over, at Rigspolitiets operatør, CSC, ved en fejl havde ladet registrene stå åbne igennem fem måneder. Ansvaret var i sidste ende Rigspolitiets, fastslog Datatilsynet, som kaldte fejlen ”overordentlig kritisabel”.

I et andet grelt tilfælde fik Hvidovre Kommune i løbet af få år kritik fra Datatilsynet for hele tre gange at have lagt CPR-numre på grupper af kommunens borgere ud på internettet ved en fejl.

”Bortset fra den skade, der kan ske, hvis sådanne oplysninger falder i de forkerte hænder, er fejl og skandaler som disse farlige, fordi de underminerer befolkningens tillid til, at myndighederne er i stand til at håndtere borgernes personlige oplysninger på en ordentlig måde,” siger Hanne Marie Motzfeldt.

Manglende tillid vil koste dyrt

Og borgernes tillid er afgørende for, at den digitale omstilling lykkes, fremhæver hun.

”Danskernes tillid til de offentlige myndigheder er traditionelt meget høj, og derfor har myndighederne herhjemme mere at tære på end myndigheder i andre lande. Men vi behøver jo bare at se på udviklingen i Skat for at konstatere, at den tillid kan falde, hvis myndigheden giver indtryk af ikke at have styr på det,” siger Hanne Marie Motzfeldt.

Hun peger på svindlen med udbytteskat til en værdi af 12 mia. kr., det fejlbehæftede inddrivelsessystem EFI og rod med ejendomsvurderinger som tre skandaler, der har slidt på borgernes tillid til Skat.

”Tillid er jo ikke nogen ubegrænset ressource, og hvis den først begynder at smuldre, kan det få potentielt uoverskuelige konsekvenser for myndighederne. Forestil dig, at vi som borgere nærmest pr. refleks møder afgørelser fra det offentlige med mistillid og tænker, at vi hellere må klage – bare for en sikkerheds skyld. Hvis tilstrækkelig mange danskere begynder at tænke sådan, vil sagspuklerne jo vokse helt ukontrollabelt,” siger Hanne Marie Motzfeldt. 

EU-fokus på datasikkerhed

Netop borgernes tillid bliver også af EU-Kommissionen fremhævet som en af de vigtigste forudsætninger for at skabe Det Digitale Indre Marked, som ifølge Kommissionen skal skabe fornyet vækst og arbejdspladser i hele EU.

’Europas digitale fremtid kan kun baseres på tillid. Med solide fælles standarder for databeskyttelse kan folk være sikre på, at de har kontrol over deres personoplysninger og samtidig drage fordel af alle de tjenester og muligheder, der ligger i et digitalt indre marked.’ Sådan lød det, da EU-Kommissionen i december 2015 lancerede den nye Databeskyttelsesforordning, som i løbet af de kommende år skal implementeres i alle 27 EU-lande.

”EU-Kommissionen havde forud gennemført en række undersøgelser i medlemslandene, der viste en udpræget grad af folkelig mistillid til digitale tjenester i Europa. Det er medvirkende til det meget store fokus på datasikkerhed, der løber som en rød tråd gennem hele forordningen,” fortæller Hanne Marie Motzfeldt.

Herhjemme træder forordningen i kraft i maj 2018, og den skærper de nuværende regler om datasikkerhed ganske markant.

”Forordningen er meget lang og ikke særlig let at læse, men den er pædagogisk på den måde, at den meget konkret opregner alle de områder, hvor virksomheder og myndigheder skal sørge for at beskytte EU-borgernes data,” siger Hanne Marie Motzfeldt.

Alle systemer skal endevendes

Forordningen indeholder også markante bøde-sanktionsmuligheder over for private virksomheder, som bryder reglerne, mens det endnu er uklart, hvilke sanktioner offentlige myndigheder kan blive mødt af, oplyser Hanne Marie Motzfeldt.

Personligt føler hun sig dog ret overbevist om, at forordningen vil højne datasikkerheden hos danske myndigheder.

”Jeg talte for nylig med en nøgleperson i en stor dansk kommunes arbejde med datasikkerhed og forstod, at det bliver et meget stort arbejde at føre kommunens datasikkerhed op til et niveau, der flugter med de skærpede regler i Dataforordningen. Kommunen har 600 forskellige IT-løsninger, som skal gennemgås, men omvendt mente vedkommende, at det kan blive en fordel, at der med forordningen nu ikke længere er nogen vej udenom at gennemgå det hele med tættekam og indprente sikkerhedsreglerne for alle ansatte, der har berøring med kommunens IT-systemer,” siger Hanne Marie Motzfeldt.

Kurser i datasikkerhed

Den nye databeskyttelsesforordning

Med den nye databeskyttelsesforordning, der gælder fra maj 2018, vil alle virksomheder og myndigheder, der behandler personoplysninger, skulle leve op til en række nye krav, som præsenteres på kurset. Underviser er direktør, cand.jur. Cristina Gulisano, Datatilsynet. Kurser afholdes 30. august og 24. oktober 2017. 

Digital forvaltning – lovgivning og forvaltningsret

Få nye kompetencer til at indgå i den moderne digitaliserede forvaltningsmyndighed som specialist eller konsulent. På kurset lærer du at identificere og håndtere problemstillinger under digitaliseringsprocesser, ved den efterfølgende sagsbehandling og i forbindelse med udarbejdelse af såkaldt digitaliseringsklare regler. Underviser er lektor og jurist Hanne Marie Motzfeldt. Kurset afholdes 30.-31. oktober 2017.

Læs mere om kurserne på djoef.dk/kurser

Læs mere:

P. Blume (2017): ’Persondataretlige grund-figurer – Strejftog i den nye persondataret’. Djøf Forlag.

K. Østergaard og H.M. Motzfeldt (2017): ’Fortid, nutid og fremtid – om databeskyttelsesreformen i et retsøkonomisk perspek-tiv’. I: ’Festskrift til Hans Viggo Godsk Petersen’: s.597-614. Djøf Forlag.

P. Blume (2016): ’Den nye persondataret – Persondataforordningen’. Djøf Forlag.

H.M. Motzfeldt (2008): ’God databehandlingsskik ved forvaltningsmyndigheders videregivelse af person-oplysninger – udvalgte problemstillinger med fokus på samarbejdsrelationer’. Aarhus Universitetsforlag.