Nets-skandalen: Radikal forandring af Datatilsynet, tak. Og flere penge.

Af Dorte Toft 5

Tilføjet 7. maj: Det er Finanstilsynet, der har ansvar for tilsyn med Nets og har forsømt detfortæller DR. Datatilsynet er imidlertid stadig helt centralt i relation til datalæk.

Hvis EU’s datasikkerheds-forordning var vedtaget, ville Nets og dets driftsleverandør IBM have anledning til at ryste i bukserne. Der kan vanke bøder på op til 5 procent af den årlige omsætning i hele verden, når der sker datalæk. Maksimum er ”dog” 100 millioner Euro.

Det er noget andet end de 25.000 kroner, der udgør den hidtil største bøde i Danmark som Datatilsynet har uddelt, når datasikkerheden halter.

Ifølge Datatilsynet ligger bøderne typisk i størrelsesordenen 5.000 til 10.000 kroner. Er det en offentlig myndighed, der forbryder sig, slipper denne gratis. Men der kommer dog et irettesættende brev.

Oplysningspligt

Hvis EU-forordningen var gjort til lov i de 28 lande ville Nets/IBM også have pligt til at oplyse de kendte mennesker, hvis data er lækket, om miseeren. I dag? Ingen pligt. Derfor kender ingen ud over Se og Hør og tys-tys-manden omfanget af overvågningen af kreditkortdata.

Men vi har jo Datatilsynet, der består af et dataråd og et sekretariat, til at holde virksomhederne i ørerne, ikke?

Datatilsynet blev som bekendt for nylig varslet nedskåret som led i regeringens spareøvelser. Efter skandalen, der involverer Nets, IBM, Aller og Se og Hør, har der være politiske røster fremme om i stedet at styrke Datatilsynet med flere penge.

Penge ikke nok

Spørgsmålet er, om det er en god idé? Om det ikke skal noget langt mere radikalt til end en fortsættelse af uddeling af næser og småbøder, der slet ikke kan mærkes på bundlinjen?

Skal der måske et helt nyt og mere aktivt Datatilsyn til? Et tilsyn forankret under Folketinget selv, nøjagtig lige som Folketingets Ombudsmand?

I dag er Datatilsynet forankret under Justitsministeriet, der også leverer mange ansatte. Det ministerium som jo bør kigges særdeles grundigt efter i sømmene ikke mindst i forbindelse med overvågning af borgerne og borgernes retssikkerhed. Der er i reglerne godt nok intet til hinder for det kritiske blik, men alligevel.

Prioriter it-ekspertise

Vil det ikke også være rart med Datatilsyn, hvor it-ekspertisen prioriteres tårnhøjt? I dag er der ifølge medarbejderoversigten 21 personer i sekretariatets juridiske afdeling, og kun fem står anført under it-sikkerhedskonsulenter. Umiddelbart synes det som om kun to har en længerevarende teknisk uddannelse.

Kunne det desuden ikke være rart med et Datatilsyn, der ikke i så høj grad lader sig nøje med afkrydsning af spørgeskemaer og forud varslede besøg? Et datatilsyn, hvis besøg blev imødeset med en vis skræk, fordi der var garanti for at erfarne sikkerhedseksperter/it-revisorer altid deltog?

Måske ville det også være rart med et Datatilsyn, der ikke skrev så meget i bureaukratsprog, men i et sprog enhver borger kunne forstå. Godt nok er Datatilsynets rolle at være rådgiver for Folketinget, men det ville jo være rart, om også borgere blev betænkt med letfattelig rådgivning.

Slagkraftigt norsk datatilsyn

Tænk hvis vi havde et datatilsyn som det norske. Et, der da nyheden om Snowdens afsløringer af NSA-overvågningen, skrev til den daværende norske justitsminister og krævede en redegørelse for, hvilke data NSA havde indsamlet og hvilke tjenester, der kunne have udleveret informationer til NSA.

Det norske Datatilsynet er en slagkraftig enhed i den offentlige debat, selv om bemandingen ifølge websitet kun er på 40 – dog lidt større end den danske.

Synlig i debatten

Datatilsynets direktør, Bjørn Erik Thon, tager imidlertid rask væk ordet også i den offentlige debat, og skammer f.eks. de selskaber ud, som fortjener at blive skammet ud. Mon ikke det gør indtryk?

Googler man på ”Bjørn Erik Thon” og ”Datatilsynet” får man 239.000 resultater. Googler man på det danske Datatilsyns mangeårige direktør, ”Janni Christoffersen” og ”Datatilsynet” får man 1.600 resultater. Christoffersen er godt nok på orlov nu, og en Googling giver ikke alle sandheder, men alligevel.

Bjørn Erik Thon er jurist, nøjagtig som Janni Christoffersen er det, og som den konstituerede direktør Birgit Kleis er det.

Fortid som forbrugerombudsmand

Men Bjørn Erik Thon, der også har forfattet krimier, kom ikke direkte fra et Justitsministeriet. Han har været forbrugerombudsmand fra 2000 til 2010, og lige som den danske Forbrugerombudsmand ligger der i sagens natur en enorm opmærksomhed i relation til, hvad der tjener borgerne bedst. Den synes Thon at have taget med sig.

Jeg kan f.eks. se, at det norske datatilsyn har tvunget et firma, der har solgt helbredsoplysninger til et amerikanske selskab, oplyse de berørte borgere om det.

Tjek det norske datatilsyns hjemmeside af mod det danskes.

Årsberetninger

Tag et kig også på det norske tilsyns årsberetning for 2013, hvor meget Snowden-afsløringerne og deres betydning for borgernes retssikkerhed omtales. Helt fra forordet af.

Det danske Datatilsyns årsberetning for 2013 er endnu ikke udgivet, men i 2012’eren er det så EU-forordningen, der er i centrum. Datatilsynet vil hellere have et direktiv, hvor det er op til landet selv at udforme loven, end en forordning, der altså bliver lov for alle 28 lande.

Presset og glemt

Når alt dette er sagt, så er det en kendt sag, at det danske datatilsyn i den grad er udpint. Sagsmængden er naturligvis eksploderet, for det er it- og netbrugen også, men bevillingerne har slet ikke fulgt med det øgede pres.

Så der pukles i tilsynet, men måske netop det forhold, at Datatilsynet har en ret anonym rolle i forhold til offentligheden, gør det lettere for politikerne at “glemme” – at nedprioritere.

At sige, “jamen, vi har skam bevilget til gov.cert”… dutter bare ikke. Det er en organisation, der ingen relevans har på området, der drøftes lige nu. Govcert.dk skal orientere andre myndigheder om cyberangreb med lignende og vejlede.

Valget til EU

Men til slut et smut retur til EU, datasikkerhedsforordningen og det nært forestående EU-valg.

Måske kan det være en god ting i stemmeboksen at prioritere de politikere, der vitterligt kerer sig om datasikkerhed også i daglige, og ikke kun ved ”festlige” lejligheder med kendisser og Se og Hør på deltagerlisten.

Du er i dag “beskyttet” af noget, der blev vedtaget i nettets oldtid. I 1995. Tag et nærmere kig på, hvad du som borger kan opnå, hvis EU-forordningen går igennem. Den er ikke perfekt, men den er tiltrængt.

Stor modstand

Jeg har skrevet om det HER. Men om den går igennem? Der er kraftig modstand fra myndigheders side, fra forskerside både i det offentlige og i det private.

5 kommentarer RSS

  1. Af Kenneth Rosenmeyer

    -

    Hej Dorte,

    Jeg forstår din hensigt og er forsåvidt enig heri, men jeg forstår ikke dine midler. Du anvender en data lækage (Snowden) til at argumentere imod data lækager (Nets medarbejderen). Det skandaløse I Nets sagen er ikke den ringe tekniske datasikkerhed, men derimod etikken blandt Nets medarbejdere. Teknisk gode sikkerhedssystemer vil kunne stoppe de fleste moralsk anløbne, men de vil altid kunne omgås, jvf. de mange hacker sager. Det der skal til er en højere moral blandt medarbejderne, der omgås de mest følsomme data. NSA I USA plapre jo ikke ud med hvad, de ved. Det gør kun de medarbejdere, der er moralsk anløbne nok til at tilsidesætte gældende regler.

  2. Af Dorte Toft

    -

    @ Kenneth Rosenmeyer. Ja, det er to forskellige ting – Snowden-afsløringerne og Nets-sagen. Og alligevel ikke helt. Ja, det handler i Nets-sagen om en moralsk anløben person, der finder mager hos Se og Hør. Hvor i Snowden-sagen kopieres data ud i helt andet sigte.

    Men der var jo også eksempler på “ringe teknisk datasikkerhed” hos Nets, i en nys afgjort vurdering fra Datatilsynet gælder det mangel på kryptering hos Nets, som beskrevet HER.

    Jeg tror personligt, at udsigt til et it-revisionsteknisk MEGET grundigt tilsyn kan få de dataansvarlige mere op op på dupperne, for hvor pinligt er det ikke, hvis man f.eks. afsløres i ikke konsekvent at tjekke logfiler for afvigeler. Lige som jeg tror, at risikoen for en kæmpebøde ville have fået Nets-ejernes opmærksomhed.

    Jeg kan så tilføje, hvad angår Snowden, at der gennemførte det norske datatilsyn en undersøgelse blandt borgere. Undersøgelsen kortlagde bl.a., hvor mange, der var blevet bekymret efter afsløringerne, og om de havde ændret rutiner. Man lytter til borgerne, og dermed vil man også bedre være i stand til at sikre information herunder vejledning. Er der nogen i Danmark, der har spurgt borgerne om, hvorvidt Snowden-afsløringerne bekymrer dem?

  3. Af C H

    -

    Aben er vist hos finanstilsynet. Se
    http://www.dr.dk/Nyheder/Penge/2014/05/05/05211336.htm

    Finanstilsynet har dog været på inspektion vedr. hvidvask i januar 2013 jf. finanstilsynets egen hjemmeside.

    Finanstilsynet har haft en del af se til, så de kunne måske nok trænge til noget aflastning.

  4. Af Kenneth Rosenmeyer

    -

    Hej Dorte,
    Du har jo selvfølgelig ret I Datatilsynet I den grad trænger til en overhaling, og dataejerne burde kunne straffes meget hårdere end idag. Det vil selvsagt ændre adfærden omkring brugen af følsomme data. Dog synes jeg også man burde tage de ansatte I ed, når de vises det ansvar at håndtere følsomme data. Jeg synes godt man kan sammenligne Snowdens lækage med Nets lækage. Det er det samme princip, der er brudt, men vi opfatter sagerne forskelligt, fordi vi som mennesker føler os små og manipulerede I forhold til NSA, mens Nets er en lille spiller, vi forarges over. Nu er det vist mest polemik fra min side, så jeg vil blot overordnet erklære mig enig I dine synspunkter ang. hårdere straffe og en meget grundig overhaling af Datatilsynet.

    Mvh
    Kenneth Rosenmeyer

  5. Af Dorte Toft

    -

    @ CH – godt du nævner det, altså at det er Finanstilsynet, der skal inspektere Nets. Må få undersøgt, om det udelukkende er Finanstilsynet, eller både og. Og så vil det være interessant at se på de it-revisionskompetencer, der er i Finanstilsynet, og hvilke repressalier, man benytter sig af. Om det også der blot er “breve” eller en offentlig udstilling og en ordentlig bøde i de værste tilfælde.

    Men i morgen kan der måske vise sig et råddent æg, der sidder også kigger i hospitalets, politiets eller forsikringsselskabets data. Så et skærpet Datatilsyn – om en helt ny organisation, reflekterende nutiden, eller en styrket gammel – er relevant.

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info