Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Det offentlige må godt overtræde GDPR
Eller rettere – det må de ikke, men der er ikke nogen konsekvenser, når det sker. Det giver en dobbeltstandard, og datasikkerheden bliver aldrig bedre, hvis der ikke bliver ændret på det forhold
Vi har et problem, når det kommer til datasikkerhed – der er en tydelig dobbeltstandard.
Vi har et sæt regler, der gælder for det private, men ikke for det offentlige, og det kan ikke være rigtigt.
For det handler om at være et godt eksempel.
Det offentlige må gå i front og ikke bare løfte pegefingeren over for det privat.
Hvis det ikke sker, giver det os så ret til at slække på vores egen holdning til datasikkerheden?
Vi mister tilliden
Offentlige institutioner mister vores tillid, når de sløser med personlige data – noget, der desværre ikke er nogen nyhed, eller noget, der sker sjældent.
For nyligt var det Roskilde Universitet, der måtte indrømme, at deres it-sikkerhedsparader var helt nede om knæene og gav adgang til omkring 2.700 personers cpr-numre.
Hvor tåbelig og problematisk denne sag er, så er den ikke enestående og den vil heller ikke være den sidste, vi kommer til at se.
For der er reelt ikke nogen konsekvenser, når det offentlige på nogen måde sjusker med vores data, eller med it-sikkerheden.
Det er det dilemma, vi står i her. For på den ene side, så indfører lovgiverne, både her i Danmark og i hele EU, regler og love der skal overholdes for at sikre datasikkerhed og den personlige sikkerhed online.
På den anden side, så er det tydeligt, at de love ikke gælder for dem selv, eller ikke har samme konsekvenser, som de har for alle andre.
Nul konsekvenser
Hvis vi i den private sektor sjusker med it-sikkerhed, eller hvis vi lækker data, så står vi til regnskab overfor forordninger som eksempelvis GDPR, EU's persondataforordning, efter hvilken vi kan idømmes store bøder, hvis vi ikke kan leve op til de krav, den udstikker.
Men hvis det offentlige overtræder GDPR, så er der absolut ingen konsekvenser. Der er ikke nogen, man kan give en bøde, ikke nogen, man kan straffe.
I princippet kunne man godt give en bøde til en offentlig instans, men den regning ender jo bare tilbage hos skatteyderne, og bøden vil ingen effekt have.
Hvorfor er det lige, at der skal være forskellige standarder? Hvorfor er det, at den private sektor kan straffes og ikke det offentlige?
Vi har en rigsrevision, der gang på gang påpeger, at sikkerheden i det offentlige er hullet som en si, og der sker absolut intet – for der er jo ingen konsekvenser.
Når det offentlige har en læk, så står cheferne frem og undskylder, og så stopper den der.
Urimelig dobbeltstandard
Det bringer mig tilbage til det dilemma, som vi står i, nemlig at der er en dobbelt standard, når det kommer til it-sikkerhed og databeskyttelse.
Lovgiverne kræver, at vi i det private skal leve op til, og finde ud af, lovgivninger og foranstaltninger som GDPR, mens de selv ikke kan finde ud af det, og ofte står i den situation, at data lækkes fra offentlige institutioner.
Datasikkerhed er vigtigt og vi må og skal passe på vores private informationer, men det må ikke være en dobbeltstandard – regler skal gælde for alle, og det må være op til vores lovgivere at finde ud af, hvordan det gennemføres i praksis.
Et gammelt ordsprog siger, at du skal feje for egen dør, og det gælder også her.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.