På Dansk-IT’s it-sikkerhedskonference fornylig præsenterede Videnskabsministeriet et udspil til en it-sikkerhedskomite til erstatning for det ophørte it-sikkerhedspanel.
En sådan komite skal efter min mening være statsligt funderet, da man ikke må “outsource” et så væsentligt og fundamentalt område til interesseorganisationer eller brancheforeninger.
Risikoen for interessekonflikter mellem komiteens kommissorium og den pågældende organisations/forenings egne interesser er for stor og vil let forringe troværdigheden ved komiteens arbejde og i sidste ende værdien heraf.
Når det er sagt, mener jeg, at komiteen (eller nærmere rådet) skal arbejde selvstændigt og politisk uafhængigt.
Fokus skal flyttes
Fokus skal flyttes fra it-sikkerhed til informationssikkerhed og privacy.
I sidste ende er det love og regler samt arkitekturer, metoder, processer – og ikke mindst etik og adfærd, som skaber sikkerhed.
Hensynet til en kundes eller borgers personfølsomme oplysninger og krav til privacy kan derfor ikke løses med it alene.
At it-adgangen til patientjournaler skærpes, ændrer ikke på, at eksempelvis papirversioner af personfølsomme oplysninger ligger let tilgængeligt og uovervåget på hospitalerne.
Som jeg har forstået videnskabsministerens oplæg, er der åbnet for, at rådet kan inkludere repræsentation af andre ministerielle områder, hvilket jeg ser meget positivt på.
I Videnskabsministeriets Privacy Forum opfattede jeg, at arbejdet i gruppen Regulering og Arkitektur netop bekræftede behovet for et tværgående samarbejde, eksempelvis mellem Videnskabsministeriet og Justitsministeriet.
Sådan bør det se ud
Et fremtidigt råd bør have ejer- og medlemskab af Videnskabsministeriet (blandt andre IT-og Telestyrelsen), Økonomi- og Erhvervsministeriet (blandt andre Dansk Standard), Justitsministeriet (Datatilsynet) samt medlemskab af Kommunernes Landsforening, Forbrugerrådet samt DI.
Medlemmerne skal hver...fortsættes
... udpege fagligt kompetente personer fra relevante områder.
Rådet skal arbejde ud fra et helhedshensyn, hvor det offentlige, erhvervslivet og individets retssikkerhed og interesser er repræsenteret, og hvor mål (effektivitet) og hensyn (fortrolighed) kan fremlægges og drøftes under ét.
Rådet skal formidle viden samt udarbejde vejledninger og retningslinjer, gennemføre og koordinere konkrete initiativer såvel direkte som via de medlemmer, det repræsenterer.
OIO-informationssikkerhedsstandarden DS 484, som er udarbejdet i Dansk Standards regi, er et af de initiativer og betragtes af mange som et udgangspunkt for at skærpe privacy-hensynet.
Standarden anvendes af staten, af et stigende antal kommuner samt af en del private virksomheder.
Privacy kan dog ikke alene anskues udelukkende fra et nationalt perspektiv, da en stor del af den “trussel”, vi er udsat for i dagligdagen, kommer fra ikke-nationale internetsites.
En revideret DS 484 bør derfor i højere grad baseres på internationalt udarbejdede og anerkendte standarder (metoder, best-practices o.a.) inden for informationssikkerhed og privacy.
DS 484 kunne i fremtiden blive en standard, som samler en række internationale standarder, eventuelt suppleret med en række skærpede nationale krav og med tilhørende best-practises.
Dette vil understøtte globaliseringen samt fremme, at danske tværgående, afstemte interesser og holdninger i langt større grad indarbejdedes i europæiske og internationale standarder.
Målet med et fremtidigt råd skal være at øge fokus på informationssikkerhed og privacy, sørge for at dette ses i relevante sammenhænge og helheder, som har betydning for såvel det offentlige, erhvervslivet, ikke mindst borgeren og endelig sikre, at det danske fælles ambitionsniveau ud over det nationale aspekt gøres globalt gældende.
Niels Madelung er projektchef i Dansk Standard.
Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.
