Helt ny virkelighed for Datatilsynet

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

I Alt om DATA har vi her på erhvervssiderne ved flere lejligheder ridset det scenarie op, der vil møde danske virksomheder og organisationer, når EU’s nye persondataforordning træder i kraft den 25. maj næste år. Det bliver en helt ny virkelighed, hvor det frem for alt kan komme til at gøre gevaldig ondt i tegnebogen. Fra denne dato kan der nemlig udstedes bøder i millionklassen til dem, der ikke lever op til kravene om sikker datahåndtering.

Set med danske øjne er den helt store udfordring, at vi ganske enkelt ikke har tradition for at tage datasikkerhed alvorligt. En af de grundlæggende årsager hertil er, at sanktionering har været stort set ikke eksisterende og, at eventuelle bøder har været af en så beskeden størrelse, at de ingen præventiv effekt har haft.

Denne artikel vil ikke gå juridisk i dybden med persondataforordningen. Det vender vi tilbage til på et senere tidspunkt. Til gengæld vil den beskrive det scenarie, danske virksomheder og organisationer – såvel offentlige som private – samt ikke mindst offentlige myndigheder lovgivningsmæssigt vil møde frem til forordningens ikrafttræden, hvor Datatilsynet pålægges en lang række nye arbejdsopgaver. Dertil kommer de opgaver, som følger af den danske databeskyttelseslov.

Millioner til Datatilsynet, men…!

Det kræver i sagens natur flere ressourcer, og derfor tog justitsminister Søren Pape allerede hen over sommeren initiativ til at styrke Datatilsynet økonomisk. Den officielle udmelding kom en af de første dage i september og faldt stort set sammen med en henvendelse til ministeren fra en række interesseorganisationer, der netop påpegede nødvendigheden af en styrkelse.

I denne hed det blandt andet, at ”det er helt centralt for beskyttelsen af personoplysninger, at Datatilsynet kan løfte de opgaver, det pålægges ifølge loven. Erhvervslivet, offentlige myndigheder og borgere har brug for et Datatilsyn, som ikke kun er tilsyn, men som også i høj grad kan informere konkret om reglernes anvendelse, når der er brug for det”.

Henvendelsen blev initieret af Ingeniørforeningen IDA og Thomas Damkjær Petersen, der er formand for foreningen. Han er da også glad for, at justitsministeren, og dermed regeringen, har en ambition om, at Datatilsynets ressourcer skal øges med knapt 75 procent at regne fra de nye reglers ikrafttræden. Helt præcist er der lagt op til en styrkelse med 12,5 millioner kroner i 2018 og 16,4 millioner kroner i 2019, mens beløbet fra 2020 og frem hedder 16,8 millioner kroner.

Det er slet ikke tilstrækkeligt

Til Alt om DATA er udmeldingen fra ministeriets presseafdeling, at denne forøgelse er endog særdeles flot, og i ministeriet har man derfor ikke den store forståelse for, at direktør i Datatilsynet, Christina Gulisano til et dagblad har udtalt, at ”de tilførte midler kun lige akkurat kan følge EU-kravene”. Hun føjer til, at man kun lige holder skindet på næsen, så man lever op til EU-retten. Der er altså ikke nogen grund til at oversælge budskabet, mener hun.

At der i virkeligheden er brug for endnu flere midler bakkes op af Thomas Damkjær Petersen fra IDA, der konstaterer, at en fordobling eller måske endda en tredobling af medarbejderne ville være på sin plads. Han lægger op til, at bevillingerne bør hæves endnu mere i forbindelse med færdigbehandlingen af finansloven. I henvendelsen til justitsministeren hedder det da også:

”Vi vil henstille til, at der i Finanslovforslaget lægges op til mindst en fordobling af det nuværende Datatilsyns egne medarbejdere afhængig af, hvad der er nødvendigt for at sikre en effektiv håndhævelse. Vi er klar over, at det har en pris at fordoble eller tredoble Datatilsynet. Men prisen i tabt tillid til digitaliseringen, prisen for at få eksponeret sine følsomme personoplysninger overfor uvedkommende samt prisen for ineffektive virksomheder og myndigheder, der bruger masser af mandetimer på at løse de samme udfordringer, fordi de ikke kan få gode råd fra tilsynet, er langt større”.

Et spørgsmål om borgertillid

Ifølge en anden af medunderskriverne, Rikke Hvilshøj, der er direktør for Dansk IT, skal henvendelsen til ministeren dog ikke udelukkende ses i lyset af den nye person-dataforordning. Den skal også ses i lyset af et samfund, hvor det ikke blot er den enkelte borger, men hele samfundet som sådan, der er ofrene, når data lækkes eller misbruges.

”Vi lever i en digital tid, hvor databeskyttelse er ensbetydende med velfærd. Det er ganske enkelt afgørende for borgernes tillid til systemet, at de kan have tillid til, at der sanktioneres kontant og effektivt, hvis kontrollen svigter”, siger Rikke Hvilshøj. Dermed indikerer hun med al tydelighed, at hun er enig med de mange andre, der ikke mener, at sanktionerne fra Datatilsynets side ind til nu har været markante nok.

Øget behov for rådgivning

Nu skal fokus imidlertid ikke kun være rettet mod sanktioner og bøder i millionklassen. Når det er så essentielt, at Datatilsynet tilføres flere ressourcer, hænger det i høj grad også sammen med, at tilsynet i forbindelse med persondataforordningens ikrafttræden i langt højere grad end tidligere vil få en rådgivende funktion. Det ser Ole Lehrmann Madsen, der er direktør for Alexandra Instituttet og medunderskriver på henvendelsen til justitsministeren, frem til. Han siger:

”Både blandt vores samarbejdspartnere og de virksomheder, vi har på kundelisten, oplever vi et klart øget behov for rådgivning. Både når det gælder juraen og, når det gælder det tekniske. Derfor er det vigtigt at tænke sikkerhed ind i alle løsninger lige fra start”.

Alexandra Instituttet er udsprunget fra universiteterne og har en bred vifte af it-specialister tilknyttet. Arbejdsområdet kan vel nærmest kaldes for anvendt it-forskning, og stiler mod praktisk anvendelse af nye teknologier hurtigst muligt.

Instituttet har blandt andet sæde i Rådet for Datasikkerhed, men netop fordi den nye persondataforordning giver mulighed for at udstede bøder i millionklassen, fremhæver Ole Lehrmann Madsen altså nødvendigheden af, at Datatilsynet styrkes med hensyn til rådgivning.

Således påpeger man også i den fælles appel, at der i dag spildes enorme ressourcer på at vurdere de samme problemstillinger i forskellige organisationer. Det vil derfor medvirke til betydelig effektivisering til gavn for dansk økonomi, hvis Datatilsynet får øgede ressourcer til at vejlede virksomheder, institutioner etc.

Bliver der lighed for loven?

Det endelige lovforslag i forbindelse med implementeringen af persondataforordningen i Danmark skal endeligt behandles og vedtages her i starten af den nye folketingssamling. Det har allerede været til høring, men et af de punkter, man endnu ikke har taget konkret stilling til, er sanktionsmulighederne i forhold til de offentlige myndigheder.

Thomas Damkjær Petersen fra IDA fremhæver på den ene side behovet for rådgivning og på den anden side nødvendigheden af sanktioner, der kan mærkes. Men det skal blive spændende at se, om der så at sige bliver lighed for loven og dermed ens sank-tionsmuligheder for såvel private som offentlige virksomheder. Derfor bliver følgende passus i henvendelsen til justitsministeren sikkert læst med interesse rundt omkring i den offentlige sektor:

”Datatilsynet har givet udtryk for, at man har en række udfordringer med at få nogle aktører i den offentlige sektor til at efterleve reglerne. Det er derfor nødvendigt, at Datatilsynet tildeles ressourcer og værktøjer, som i lige så høj grad, som det gør sig gældende for bøderne til erhvervslivet, kan få offentlige dataansvarlige til at efterleve reglerne”.