”Det er svært at opfatte det som andet end ligegyldighed.”
Jesper Vang er kontorchef hos Datatilsynet, og han har været på inspektion hos otte statslige myndigheder for at sikre, at de overholder persondataloven.
Det gør de ikke.
Syv ud af otte kontrollerede myndigheder bryder loven, og hos fire af dem står det rigtig skidt til: Sundhedsdatastyrelsen, Sundheds- og Ældreministeriet, Beskæftigelsesministeriet og Vejdirektoratet har alle fået karakteren ”meget kritisabelt”.
Det betyder konkret, at de ikke har levet op til persondataloven på nogen af de punkter, der bliver kontrolleret.
Jesper Vang er særligt bekymret over, at de fire myndigheder ikke kontrollerer sikkerheden hos de virksomheder, der håndterer følsomme oplysninger på vegne af dem.
De såkaldte databehandlere.
”Det er rigtig bekymrende. Vi så i CSC-sagen netop, at Rigspolitiet havde valgt at bruge CSC som databehandler, og så viste det sig, at sikkerheden var jammerlig ude hos CSC. Det havde man ikke opdaget, fordi man ikke havde ført tilsyn, og derfor kunne der sidde en svensker i Cambodia og hive meget følsomme oplysninger ud af systemet,” siger han til Computerworld.
”Jeg siger ikke, at det samme er sket her, men det er umuligt at udelukke det, for der er ikke nogen, der fører tilsyn med noget som helst.”
Ingen overraskelse
Det er i dag mere reglen end undtagelsen, at Datatilsynet finder lovbrud, når datasikkerheden i det offentlige kontrolleres.
Tidligere på året gennemførte tilsynet inspektioner hos 16 kommuner og alle fem regioner – og ingen af dem levede fuldt op til persondataloven.
”Det er frustrerende, når vi finder de samme ting gang på gang. Vi har gennemført så mange inspektioner og kommet med så mange udtalelser, og alligevel er der mange, der ikke har styr på det helt grundlæggende ting,” siger Jesper Vang.
Konsekvensfrit lovbrud
Selvom offentlige myndigheder er ret så konsekvente i deres brud på persondataloven, så kommer sagen sjældent videre end en kritik fra Datatilsynet.
I en efterhånden velkendt cyklus kontrollerer tilsynet myndighederne, udtaler en kritik, som medierne skriver om – og så sker der ikke mere.
Det er ikke muligt for tilsynet at give de offentlige myndigheder bøder, og der er således ikke flere strenge at spille på, når kritikken er udtalt på datatilsynets hjemmeside.
”Det har ikke nogen konsekvenser, for det er ikke muligt at straffe offentlige myndigheder. Det er frustrerende, for hvis myndighederne ikke vil følge vores anvisninger, så kan vi ikke gøre noget ved det,” siger Jesper Vang.
Det er stadig usikkert, om det bliver muligt med den nye persondataforordning give bøder til offentlige myndigheder i Danmark.
Justitsministeriet sendte i juli måned et lovforslag baseret på forordningen i høring, men ministeriet undlod at tage stilling til spørgsmålet.