Du er logget ind

Din profil kan bruges på Berlingske.dk, Business.dk og bt.dk, der alle er en del af Berlingske Media. Du kan altid logge ud eller opdatere dine oplysninger ved at klikke på dit profilnavn.
Kronikken

Fælles fodslag om datasikkerhed

»De seneste år har Danmark været ramt af en stribe hackerangreb og episoder, hvor personlige oplysninger pludselig har ligget frit tilgængeligt på nettet. En stadigt større del af vores liv foregår på nettet, herunder det meste af kontakten med det offentlige. Det betyder, at vi som samfund skal kunne have tillid til, at oplysningerne ikke falder i de forkerte hænder. Det er en fælles opgave uanset politisk tilhørsforhold.«

Foto: Scanpix
Foto: Scanpix

Vi politikere bliver ofte beskyldt for ikke at kunne blive enige om noget som helst og så i øvrigt kun beskæftige os med det kommende folketingsvalg. Men tro det eller ej, så bliver der faktisk arbejdet på tværs af partierne omkring vigtige emner, hvor fokus er på løsninger og ikke på polemik.

I forbindelse med den meget omtalte Se og Hør-sag og afsløringerne om danmarkshistoriens største hackerangreb mod CSC, hvor blandt andet 10.000 politimænds arbejdsmæssige mailkonti blev kompromitteret, valgte Folketingets Retsudvalg at nedsætte en tværpolitisk arbejdsgruppe, med deltagelse af alle Folketingets partier, til at se på udfordringer i forhold til datasikkerhed. Det er egentlig ikke en ny ide at nedsætte tværpolitiske arbejdsgrupper. Tilbage i 1970’erne var det rent faktisk ganske normalt at nedsætte særlige arbejdsgrupper, f.eks. til at udarbejde grundlaget for datidens folkeskolereform. Vi ser derfor store perspektiver i at bruge denne arbejdsform i forbindelse med reformer af områder, hvor der er tradition for at tilstræbe enighed mellem Folketingets partier.

De seneste år har Danmark været ramt af en stribe hackerangreb og episoder, hvor personlige oplysninger pludselig har ligget frit tilgængeligt på nettet. En stadigt større del af vores liv foregår på nettet, herunder det meste af kontakten med det offentlige. Det betyder, at vi som samfund skal kunne have tillid til, at oplysningerne ikke falder i de forkerte hænder. Det er en fælles opgave uanset politisk tilhørsforhold. Derfor har vi i forbindelse med arbejdet i den tværpolitiske arbejdsgruppe i høj grad lænet os op ad en række eksperter, der i forbindelse med to høringer har givet deres bud på, hvad der skal gøres.

Læs også: Ældre mænd er oftest ofre for IT-kriminelle

Arbejdet har været kendetegnet ved, at det ikke har været et kapløb mellem de politiske partier om, hvem der hurtigst har kunnet komme på det mest vidtgående forslag til ære for medierne. Faktisk er arbejdet foregået i al stilhed langt fra pressens sædvanlige søgelys og jagt på konflikt og hurtige udmeldinger. Og det har ikke skadet hverken samarbejdet, inddragelse af civilsamfundet eller resultatet, som vi offentliggør i dag.

Arbejdsgruppen var på baggrund af vores fælles drøftelser enig om en lang række konkrete ting. Først og fremmest er det centralt, at vi får en overordnet national strategi for databeskyttelse, der hviler på en række principper, som bør være grundlæggende for it - og dataarbejdet. En form for opdatering af principperne i den 15 år gamle persondatalov. De principper, vi betragter som de vigtigste, er følgende:

- Såvel offentlige myndigheder som private virksomheder, der behandler følsomme personoplysninger, bør være sig sit særlige ansvar bevidst. Jo mere følsomme oplysninger, desto større krav på sikkerhed og beskyttelse bør borgeren have.

- Den dataansvarlige bør altid have ansvaret for sikkerheden omkring de følsomme personoplysninger, også når data behandles af en tredjepart. Den dataansvarlige bør altid have ansvaret for, at der stilles tilstrækkelige krav til databehandler ved behandling af følsomme personoplysninger.

- Myndigheder, der fører tilsyn med datasikkerhed, bør være stærke og uafhængige. Tilsynsmyndighederne bør have tilstrækkelige ressourcer og kompetencer samt prioritere kontrolbesøg.

- Borgere bør kunne få oplyst hvilke data, der er registreret om dem, hvorfor data registreres, hvem der har adgang til disse data, hvem der har anvendt adgangen, og hvad data bliver brugt til. Dette bør til enhver tid være gældende, medmindre stærke hensyn taler imod.

- Borgere bør til enhver tid have mulighed for at klage, hvis borgeren mistænker en myndighed eller virksomhed for uretmæssigt at opbevare data.

- Medarbejdere hos såvel offentlige myndigheder som private virksomheder bør udelukkende have adgang til de følsomme personoplysninger, der er nødvendige for udførelsen af deres arbejde, og det bør sikres, at der løbende føres kontrol hermed. Der bør generelt gælde et »need to know«-princip i forhold til adgang til følsomme personoplysninger.

Derudover har vi måttet konstatere, at databeskyttelsen halter gevaldigt bagud. Der har været for meget fokus på funktionalitet frem for sikkerhed. I april 2013 lagde et hackerangreb Nem-ID ned i et døgn. Det viste sig, at det var et bestilt angreb, der var købt på en hjemmeside for ti dollars. Hvad der svarer til 60 danske kroner var prisen for at forstyrre et redskab, mange bruger i dagligdagen. Konklusionen er derfor krystalklar: Det offentlige skal have langt mere styr på sikkerheden, også selvom det er en kæmpe udfordring.

Læs også: Hackere låser kommuner ude

En af de løsninger, vi peger på, er at styrke Datatilsynet, ikke blot ved flere ressourcer, men også ved at øge dets uafhængighed og virkemåde. I dag er tilsynet placeret under Justitsministeriet, men vi ønsker undersøgt, om tilsynet kan flyttes til Folketinget. Altså en model som på mange måder kan sammenlignes med ombudsmandsinstitutionen.

Se og Hør-sagen var spektakulær, men i omfang væsentligt mindre end de mange sager om lækager af store mængder personnumre. Der findes sanktionsmidler over for private, der bryder reglerne for databeskyttelse, men når offentlige myndigheder bryder reglerne, er der ingen sanktionsmidler. Det bør der ændres på, således at offentlige og private ligestilles i den henseende. Offentlige myndigheder skal ikke være straffrie, når de har en uansvarlig omgang med personfølsomme oplysninger.

I dag er det uklart hvilken minister, der har ansvaret for datasikkerhed i Danmark, idet området er spredt over en række ministerier. Noget Rigsrevisionen påpeger som værende en udfordring for effektiv databeskyttelse. Statsministeren bør som ansvarlig for regeringens ressortfordeling overveje at samle datasikkerhedsområdet hos én ansvarlig minister. Blandt andet for at sikre den nødvendige koordinering, men også for at området har politisk fokus og ikke blot får lov til konstant at falde mellem to stole med det resultat, at danskernes data er ubeskyttet.

Læs også: Otte procent af danskerne har været ramt af ransomware

Vi er langtfra færdige med at styrke datasikkerheden, vi er faktisk kun lige begyndt, men vores arbejde på tværs af Folketingets partier betyder, at Folketinget nu i samarbejde med regeringen, som også deler ønsket om øget sikkerhed og databeskyttelse, kan træffe de nødvendige beslutninger på et kvalificeret grundlag. Samtidig har arbejdsformen resulteret i, at det grundlag, vi træffer beslutninger på, er demokratisk forankret hos folkevalgte og ikke udelukkende et resultat af embedsværkets ønsker.

Kronikken er skrevet af Karsten Lauritzen (V), Trine Bramsen (S), Dennis Flydtkjær (DF), Jeppe Mikkelsen, (R) Pernille Skipper (EL), Karina Lorentzen (SF), Tom Behnke (K) og Simon Emil Ammitzbøll (LA), alle rets- eller it-ordførere og medlemmer af Folketingets arbejdsgruppe om datasikkerhed.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer.

Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

For få adgang til indhold på Berlingske.dk skal du tillade visning af annoncer på Berlingske.dk. Se hvordan du gør her..

Tak for din forståelse.

Hov! Hvor blev min artikel af..!?

Du er træt af reklamer. Vi ved det godt! Men de betaler for den artikel, du sidder og læser. Vi vil derfor sætte stor pris på, at du tilføjer Berlingske.dk til din adblocker's "whiteliste".

Tak for din forståelse.