Læs også:
Du skal tvinges til at fortælle om dit firmas databrud
Her er smuthullet i den nye persondata-love
Vi er nødt til at erkende, at der i en digital verden sker databrud. Derfor er størst mulig gennemsigtighed den eneste vej frem.
Det er meldingen fra Rådet for større it-sikkerhed, der pris på, at EU nu vil ændre loven, så virksomheder fremover er forpligtiget til at oplyse om databrud.
"Det er et fornuftigt princip, at man - hvis man bevidst eller ubevidst har gjort noget, der kommer borgerne til skade - på al mulig måde hjælper med at begrænse skaderne," siger formanden, Christian Wernberg-Tougaard.
Allerede i 2009 opfordrede Rådet for større it-sikkerhed daværende videnskabsminster Helge Sander til at indføre en såkaldt notifikations-pligt, men det er altså først med EU's tiltag, at der sker noget.
Hvor er konsekvenserne?
Men selvom en oplysningspligt er "et rigtigt skridt på vejen," er der stadig flere udfordringer ved modellen.
"Man kunne måske efterlyse, at der var nogle konsekvenser," siger Christian Wernberg-Tougaard.
Han peger på, at man som forbruger kan drage den konsekvens, at man ikke længere vil handle i virksomheder, der ikke har passet godt nok på ens data.
"Det er bare lidt svært, hvis det er offentlige virksomheder, det drejer sig om. Man kan ikke stoppe med at betale skat, selvom SKAT har fjumret."
Alligevel vil Christian Wernberg-Tougaard ikke sige ja eller nej til muligheden for at tildele bøder eller indføre andre former for sanktioner.
"Vores udgangspunkt er, at jo længere man kan komme ad frivillighedens vej, jo bedre. Men vi udelukker ikke nogen instrumenter. Vi har bare ikke taget stilling til det endnu."
Skal ramme de rigtige
Christian Wernberg-Tougaard forklarer, at bøder kan komme til at ramme skævt, fordi det er de virksomheder, der rent faktisk lever op til oplysningspligten, der kommer til at betale, mens dem, der holder databrud skjult, går fri.
"Det tror jeg desværre, at man må affinde sig med. Hvis en virksomhed vil putte med et databrud, er svært at gøre noget ved."
"Personligt mener jeg, at dem, man bør straffe - og det kan være ganske hårdhændet - er dem, der ikke overholder notifikationspligten," siger han.
Dermed ligger Rådet for større it-sikkerhed på linje med Dansk Industri, der også bifalder EU-tiltaget - men samtidig har peget på, at det ikke stopper problemet med databrud og kan ramme skævt.
"De virksomheder, der har enormt godt styr på sikkerheden, er dem, der opdager, at de har tabt kundedata og derfor er nødt til at offentliggøre det. Alle de virksomheder og myndigheder, der ikke har styr på noget som helst, mister mindst ligeså mange data - de finder bare ikke ud af det," udtalte sikkerhedskonsulent Henning Mortensen i sidste uge.
Læs også:
Du skal tvinges til at fortælle om dit firmas databrud
