Datatilsynet får stadig mere travlt med at behandle overtrædelser af persondataloven.
I forrige weekend gik det for tredje år i træk atter galt i Gribskov Kommune. Den samme situation gør sig i øvrigt gældende i Gladsaxe Kommune.
I det hele taget tegner de danske kommuner sig for en synlig andel af det samlede antal indberettede sager i den offentlige forvaltning.
Antallet af sikkerhedshændelser blandt myndigheder, dvs. stat, regioner og kommuner, steg med 30 procent fra 2007 til 2008. Til sammenligning steg anvendelsen af digitaliserede serviceydelser kun med 21 procent i samme periode.
Den simple konklusion må være, at myndighederne bliver ringere til at beskytte de digitaliserede serviceydelser, jo flere der søsættes. Denne trussel øges, fordi adgangen til følsomme personoplysninger via myndighedernes hjemmesider er steget med 60 procent fra 2007 til 2008.
I den sammenhæng er det påfaldende, at Datatilsynets bevilling kun steg med 20 procent fra 2007 til 2008. Man kan derfor nemt komme til at tvivle på, om deres ressourcer så er tilstrækkelige, da en væsentlig del af deres opgave er at sikre opretholdelsen af persondataloven.
Hvem har ansvaret?
I forbindelse med Gladsaxe Kommunes overtrædelse af persondataloven udtalte økonomiudvalget i 2007:
"Åbenhed om kommunens aktiviteter prioriteres meget højt". Et noget overfladisk svar til de mange borgere, der har lovmæssig ret til og krav på beskyttelse af deres personoplysninger.
Gribskov Kommunes borgmester lovede allerede i 2007, at situationen ikke ville gentage sig. Det løfte holdt indtil forrige uge. På DR's spørgsmål om, hvordan det kunne ske igen, svarede borgmesteren, at det ikke var ham, men kommunens it-afdeling, som var årsag til problemet.
Ikke lige den grad af ansvarlighed, jeg forventer at møde hos en borgmester.
Til kommunernes forsvar kan man sige, at der i forbindelse med kommunalreformen er blevet lagt stadig flere væsentlige og personfølsomme opgaver over i deres regi.
Senest blev ansvaret for jobcentrene overgivet til kommunerne i august måned blandt andet med begrundelsen om at komme tættere på de ledige. Et prisværdigt ønske, men set i lyset af ovennævnte stærkt voksende risici for brud på personfølsomme oplysninger også risikofyldt.
Behov for skrappere krav
Lige nu arbejder Digital Sundhed, som danner rammen om digitaliseringen af det danske sundhedsvæsen, med at give alle behandlere, f.eks. praktiserende læger, speciallæger og hospitaler, lettere adgang til patientoplysninger på tværs af sundhedssystemet og geografi.
En sådan løsning forudsætter ligeledes kommunernes aktive involvering og ansvar.
Med disse nye og for så vidt spændende udfordringer må det være på høje tid, at staten pålægger kommunerne at indføre skrappere krav til at beskytte borgernes personfølsomme oplysninger.
Siden 2007 har staten skullet efterleve standarden for informationssikkerhed, DS 484. Hvorfor stilles der ikke krav til kommunerne om, at de skal efterleve den eller den internationale variant ISO/IEC 27001 og sågar certificeres efter en af disse?
Det samme kunne i øvrigt gøres gældende for andre dele af den offentlige forvaltning, som i betydelig grad arbejder med personfølsomme oplysninger.
Niels Madelung er projektchef hos Fonden Dansk Standard, certificeret informationssikkerhedsleder og medredaktør af revisionen af ISO/IEC-standarden 27002:2005.
Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.