Efter IT-skandalen i Sverige: Ja, det samme kan ske i Danmark
02.08.2017
.Denne artikel er, som de andre indlæg i RÆSONs Kommentarserie, gratis. Fuld adgang til RÆSONs site kræver abonnement: Et årsabonnement (inklusiv 4 trykte magasiner sendt med posten og nye betalingsartikler hver uge) koster blot 250 kr., 200 for pensionister, 200 for studerende
_______
Den eneste forskel mellem Danmark og Sveriges IT-sikkerhed er, at læk og skandaler får konsekvenser i Sverige. Sådan kan man kort opridse status på det offentlige Danmarks datasikkerhed. Det er uforståeligt, at danske politikere ikke prioriterer datasikkerhed og -etik højere. Der er ufattelige ressourcer at hente i data, og dem skal vi som samfund høste. Vi kan lære af vores erfaringer med grøn omstilling.
Af Pernille Tranberg og Birgitte Kofod Olsen, medstiftere af tænkehandletanken DataEthics.eu
I forbindelse med den nylige og meget omtalte IT-skandale i Sverige røg en offentligt ansat direktør og to ministre, fordi persondata var blevet lækket af det svenske transporttilsyn. Som i Danmark udliciterer offentlige instanser i Sverige ofte deres IT-opgaver, og i denne sag var hele det svenske kørekortsregister i hænderne på udenlandske it-medarbejdere, som ikke var sikkerhedsgodkendt til opgaven. De har håndteret både navne og billeder på personer med hemmelige identiteter som fx agenter eller folk under vidnebeskyttelse. Det rejser nu spørgsmålet: Kan det samme ske i Danmark?
Svaret er: Ja, det kan det. Vi har allerede haft lignende sager. De havde bare ikke konsekvenser. Et godt eksempel er sagen om CSC i 2012, hvor hackere fik adgang til Rigspolitiets registre og kunne hente oplysninger om 90.000 dømte personer. Registrene stod åbne i fem måneder. Et andet eksempel er Statens Seruminstitut, der i fjor mistede CPR-numre på 90% af den danske befolkning, da de sendte to ukrypterede CD’er, som ved en fejl landede hos en afdeling af den kinesiske visumvirksomhed Cits. Det danske datatilsyn vurderede, at hændelsen ikke havde nogen faktiske konsekvenser for de over 5 mio. personer, hvis data var indeholdt på CD’erne. Tilsynet foretog sig derfor ikke yderligere i sagen.
Der var i begge tilfælde ingen bøder, ingen hoveder, der røg, ingen konsekvenser for de ansvarlige. I Sverige har der heller ikke været nogen faktiske konsekvenser for dem, hvis data er lækket – i hvert fald ikke endnu. At der ikke blev værnet tilstrækkeligt effektivt om så følsomme persondata var i sig selv nok til en regeringsrokade, hvor to ministre mistede jobbet, mens direktøren for Transportstyrelsen tidligere var blevet fyret. Det er en sådan en kultur, hvor datasikkerheden topprioriteres, vi er nødt til at fremme i Danmark.
Der var i begge tilfælde ingen bøder, ingen hoveder, der røg, ingen konsekvenser for de ansvarlige
_______
Vi er i begyndelsen af en ny datatidsalder, hvor indsamlingen, lagringen, analysen og brugen af persondata er vokset eksponentielt i den private såvel som den offentlige sektor. I Danmark har Datatilsynet, der både skal korrekse og forebygge, dog samtidig fået færre ressourcer. Og Justitsministeriet har i relation til den kommende EU-persondataforordning, GDPR, der træder i kraft i maj 2018, formået at sikre, at den offentlige sektor i Danmark går helt fri af straf for datamisbrug og datalæk. Det er kun Estland, der gør det samme. Samtidig opfordrer Justitsministeriet i sin betænkning til GDPR den private sektor til at gøre mindst indenfor det, man kalder datakonsekvensanalyser. Det er analyser, der skal afdække databehandlingens konsekvenser og risici for den person, hvis data behandles. Dette kan give danske virksomheder med eksport til fx Tyskland problemer, da tyskerne på linje med de fleste andre EU-lande fortolker forordningen mere restriktivt.
Det er komplet uforståeligt, at danske politikere ikke prioriterer datastikkerhed og -etik højere. Der er ufattelige ressourcer at hente i data, og dem skal vi som samfund høste. Men hvis vi fortsætter som nu, hvor vi som samfund ikke sætter et eksempel, der viser at manglende datasikkerhed er uacceptabelt og straffes, risikerer vi, at den digitale tillid fortsætter nedad. Det vil have den konsekvens, at vi hver især gør alt for at forhindre, at virksomheder og samfund kan bruge vores data til mange gode formål. Fx sige nej til at give vores data til forskning, hvilket allerede er et problem, forskerne mærker i dag.
Hvis vi fortsætter som nu, hvor vi som samfund ikke sætter et eksempel, der viser at manglende datasikkerhed er uacceptabelt og straffes, risikerer vi, at den digitale tillid fortsætter nedad
_______
Vi er nødt til at lære af vores erfaringer med miljøet og grøn omstilling, der har vist, at langsigtede mål og bæredygtige løsninger er afgørende. Ved at behandle andres persondata etisk ansvarligt får vi sundere borgere, fordi de ikke bliver politisk og økonomisk manipuleret med tæt overvågning, som det fx skete via Facebook ved Trump-valget. Dermed får vi også på lang sigt en sund dataøkonomi til gavn for vores samfund.
Heldigvis ser vi allerede tiltag til en etisk tilgang til data. Hos Rigspolitiet arbejdes med et nyt datasystem, Polintel, hvor alle registre samles til mere effektiv kriminalitetsbekæmpelse. Samtidig er der meget mere fokus på, hvem i politiet der har adgang til data. Det er ifølge politiets DPO Christian Wiese Svanberg faktisk privacy-by-design, som den kommende GDPR stiller krav om.
Vi ser endnu flere dataetiske tiltag blandt private virksomheder. LEGO beskytter fx deres brugere efter alle kunstens regler. De benytter ikke tredjepart-cookies, indhenter forældresamtykke og opfordrer til brug af pseudonymer mv. Ifølge Wired har LEGO bygget et socialt netværk for børn, som ikke er creepy – netop ved at tage databeskyttelse og børns privatliv dybt alvorligt. Virksomheden skiller sig dermed ud fra konkurrenterne, og dataetik bliver et konkurrenceparameter.
Der er således inspiration at hente derude. Faktisk kan Danmark stadig nå at gå forrest og skabe et nyt ‘vindmølleeventyr’ – bare med etisk ansvarlig brug af persondata. Der skal skabes offentlige rollemodeller, der arbejder efter privacy-by-design-principper. Der skal opdyrkes en dataetisk kultur. Og de virksomheder, der gør det samme, skal fremmes. Derved vil vi kunne lukrere på det vækstmarked, som ligger forude, fordi flere og flere bliver trætte af massiv tracking, overvågning og manglende datasikkerhed.
Faktisk kan Danmark stadig nå at gå forrest og skabe et nyt ‘vindmølleeventyr’ – bare med etisk ansvarlig brug af persondata. Der skal skabes offentlige rollemodeller, der arbejder efter privacy-by-design-principper. Der skal opdyrkes en dataetisk kultur. Og de virksomheder, der gør det samme, skal fremmes
_______
EU kommer med reglerne, og markedet leverer efterspørgslen. Men vi skal selv skabe den dataetiske kultur, hvis det danske samfund skal nyde godt af vækstpotentialet, og hvis borgerne skal nyde godt af en effektiv beskyttelse af deres privatliv.
Pernille Tranberg er indehaver af Digital Identitet, hvor hun rådgiver om dataetik og bæredygtige data, holder foredrag og om big data og privacy, om at beskytte og kontrollere sine data. Birgitte Kofod Olsen er partner og indehaver i Carve Consulting, hvor hun rådgiver virksomheder, myndigheder og organisationer om CSR, herunder om dataansvarlighed og privacy. De er begge medstiftere af tænkehandletanken DataEthics. ILLUSTRATION: Den svenske statsminister Stefan Löfven leder pressemøde om IT-skandalen [foto: Orre Pontus/Aftobladet/IBL/Polfoto]
Denne artikel er, som de andre indlæg i RÆSONs Kommentarserie, gratis. Fuld adgang til RÆSONs site kræver abonnement: Et årsabonnement (inklusiv 4 trykte magasiner sendt med posten og nye betalingsartikler hver uge) koster blot 250 kr., 200 for pensionister, 200 for studerende