Efter måneders debat om bødesanktioner til offentlige myndigheder for at sjuske med borgernes private data er regeringen nu klar til at gennemføre en historisk ændring af dansk retspraksis.

Justitsminister Søren Pape Poulsen (K) har fremsat et lovforslag, der gør det muligt at straffe kommuner, regioner og staten økonomisk for ikke at beskytte persondata mod misbrug, læk og hacking. 

Bødestørrelsen kan ifølge Politiken blive på op til fire procent af en myndigheds driftsbevilling eller højst 16 millioner kroner, hvis fremmede hacker sig ind til fx cpr-numre eller sundhedsdata – og hvis fuldmægtig Nielsen har glemt sin bærbare pc med personfølsomme sagsmapper i bussen.

“Lovforslaget tager den offentlige sektor hen i en retning, som vi ikke har set tidligere. Myndighederne skal i gang med en større kulturændring,” siger privacy-eksperten Emilie Norsk, der er senior manager i rådgivnings- og revisionsfirmaet KPMG.

 Selve reglerne er ikke forandret dramatisk i forhold til tidligere. Det er ’alvorligheden’ og det store fokus på ansvarlighed og sikre arbejdsprocesser, som er det nye, fremhæver hun.

Lander data i de forkerte hænder, skal offentlige myndigheder som private virksomheder klart kunne dokumentere, at de organisatorisk og teknisk har gjort alt, hvad de kunne, for at sikre data ud fra kriterierne i forordningen, og at de har uddannet deres medarbejdere til at arbejde ansvarligt med personoplysninger.

Er både processerne, teknikken og dokumentationen i orden, er risikoen for at få bøder mindre, også selvom der opstår en sag om misbrug eller lækage, fremhæver Emilie Norsk.

“Tager vi eksemplet med den glemte pc i bussen, vil sanktionen bl.a. afhænge af, om data er krypteret, om der er lås på computeren, og om medarbejderen er blevet instrueret i, hvordan man beskytter persondata. Hvis ingen af de tre forholdsregler er til stede, nærmer vi os en klækkelig bøde,” siger hun.

Man vinder ikke valg på IT

Selvom bøder til offentlige organisationer ikke er så store som til det private erhvervsliv, vil de nye regler klart komme til at virke præventivt. Det mener lektor i forvaltningsret og persondataret ved Aarhus Universitet, Hanne Marie Motzfeldt.

Hun har tidligere i Djøfbladet været ude med riven efter manglende databeskyttelse i det offentlige. (Djøfbladet 10/2017, red.)

“Datasikkerhed bliver nu en god businesscase. Stiller kommunens IT-afdeling med et krav om tre millioner kroner til at sikre persondata, vil ledelsen være langt mere lydhør end tidligere. Det gælder også for lokalpolitikere, som hidtil ikke har givet området den store bevågenhed. Man vinder valg på borgernære sager som børnehaver og skoler – ikke på IT,” som hun siger.

Selvom hun tilslutter sig lovforslaget om økonomiske sanktioner, beklager

Hanne Marie Motzfeldt, at det er blevet nødvendigt at bruge bøder som styringsredskab i det offentlige.

“Det kunne man have undgået, hvis man i tide havde indført en bonus for høj datasikkerhed i resultatkontrakterne mellem staten, regioner og kommuner,” siger hun.

Justitsministeriet tilsidesat

På Christiansborg har blandt andet Alternativet og Liberal Alliance tidligt markeret sig som stærke tilhængere af, at private og offentlige skal have samme straf, når reglerne om persondatabeskyttelse ikke overholdes.

Nu står et flertal i Folketinget efter alt at dømme klar til at vedtage loven, der har titlen Forslag til lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger (L69). Dermed skubber politikerne både Justitsministeriets advarsler og kommunernes kritik til side.

Argumenterne imod bøder lyder på, at det ikke giver mening at flytte skattekroner rundt fra den ene kasse til den anden, og at det kan gå ud over velfærden, hvis regioner, kommuner og ministerier skal sætte penge til side til eventuelle sanktioner.

Fortalerne for økonomisk straf peger på, at der skal en effektiv lovgivning til for at dæmme op for den efterhånden lange række af kritiske persondatalæk fra offentlige servere og IT-systemer. Det er også urimeligt, at private virksomheder og offentlige myndigheder ikke er sidestillet, fremfører blandt andet Dansk Erhverv.

Bødestraf til offentlige myndigheder er et brud med den hidtidige danske retspraksis på området. I dag kan kun arbejdstilsynet straffe stat, kommuner og regioner med bøder. Det sker, hvis myndighederne overtræder arbejdsmiljøloven. Og da er sanktionerne langt mindre.