Hvordan vil du have det, hvis du ved, at dine personlige data er blevet lækket, tabt eller stjålet fra nogle af de mange fortrolige registre, du står i? Det kan ganske vel være tilfældet - uden at du er klar over det! For i Danmark er der ingen lovgivning, der tvinger virksomheder og offentlige organisationer til at oplyse borgerne, hvis deres data går tabt.
I det hele taget er det uden konsekvenser i Danmark, hvis en organisation kvajer sig og mister personfølsomme data. Sådan er det ikke i andre europæiske lande. Der findes en række eksempler på, at der bliver givet store bøder i for eksempel Frankrig, England og Grækenland. I England fik National Building Society således en bøde på omkring 10 millioner kroner for at miste data på en bærbar computer.
Men typisk er det ikke de lokale datatilsyn, der giver bøderne. De har ikke ressourcer eller lovgivning til at gøre dette. I England var det således FSA (finanstilsynet), der gennem lovgivningen kunne give bøden. EU har faktisk ikke været særligt agressiv i udrulning af lovgivning på området - først her i 2010 kommer der, måske, et direktiv om, at teleudbydere har en forpligtelse til at oplyse om databrud.
Det nuværende primære EU-direktiv om databeskyttelse stammer helt tilbage fra 1995 - og der er godt nok sket meget siden da.
I USA er man længere fremme i skoene. I 40 stater findes der allerede lovgivning, der pålægger organisationer at oplyse om brud på datasikkerhed til de berørte personer. Og der bliver også givet bøder. For eksempel sidste oktober, hvor firmaet Chooicepoint fik en bøde på 1,5 millioner kroner for at miste data for kun 13.000 personer.
Der sker ikke en disse
Andre EU-lande kan også finde ud af det. I Tyskland er der siden september sidste år blevet indført en strengere lov om databeskyttelse. Hvis sensitive data mistes, er organisationen forpligtet til at informere de berørte personer. Det kan eksempelvis gøres gennem annoncer på mindst en halv side i to landsdækkende aviser.
Hvad sker det i Danmark? Ikke en disse. Datatilsynet vasker sine hænder. De overholder EU's direktiver, og det mener man tilsynelandende er nok. Lovgiverne gør heller ikke noget.
Hvad er konsekvensen? Konsekvensen er naturligvis, at der ikke er nogen særlig grund for organisationer til at investere i "data loss prevention"-løsninger, såsom kryptering eller data-screening. Det er da godt nok "ubehageligt" for en virksomhed at miste data - men det er jo ikke engang sikkert, at der bliver opdaget.
Grundlæggende set skal der en økonomisk straf til for at flytte en holdning. Når udgiften til sikring er mindre end udgiften til tab, så sker der noget. Man køber jo heller ikke en lås til 200 kroner, hvis cyklen kun har en værdi af 50 kroner, vel?
Så i dag er Danmark et slaraffenland for datatyve. Det er nu en gang sådan, at tyvene går efter de huse, der er nemmest at bryde ind i, og som har mindst sikkerhed. Og alle undersøgelser viser, at Danmark halter langt efter de andre lande.
Det er på tide, at der fra politisk side tages fat - og det ville klæde Datatilsynet at drive initiativer til en forbedring af datasikkerheden.
Per Andersen er administrerende direktør for analysehuset IDC Nordic og Benelux.
Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.