overforsigtige myndigheder:
Leder
Kampen for bedre beskyttelse af europæiske borgeres persondata nærmer sig en vigtig mærkedag. Om to uger er det fire år siden, at GDPR trådte i kraft og for alvor satte databeskyttelse på dagsordenen, og siden er persondataskeletterne væltet ud af diverse skabe hos både sundhedsvæsenet, kommunerne og en lang række private virksomheder.
Der går sjældent en uge, uden at en større eller mindre persondatabommert rammer overskrifterne – Danske Bank, Lejre Kommune og Nationalt Genom Center er blandt nogle af de sager, vi på vores it-medie Version2 har været omkring i de seneste måneder. Men efter fire år må man alligevel komme til en kedelig konklusion: Datatilsynet er ikke i nærheden af at have etableret et afskrækkende bødeniveau for lemfældig omgang med borgernes følsomme oplysninger, ligesom virksomhederne heller ikke har nogen bødepraksis at kigge efter, så de ved, hvad de kan forvente.
På overfladen kan det let se ud, som om GDPR bliver håndhævet skrapt herhjemme. Datatilsynet har indstillet til bøder i mere end 20 sager, der fordeler sig nogenlunde ligeligt mellem offentlige myndigheder og private virksomheder. Graver man et spadestik dybere, tegner der sig dog et noget andet billede.
Kun to af sagerne er rent faktisk endt med en endelig bøde til datasynderen. Lejre Kommune har fået en bøde på bare 50.000 kroner, og Nordbornholms Byggeforretning, der omsætter for et trecifret millionbeløb, har betalt 100.000 kroner efter at have fået bøden reduceret med 75 procent i retten. Derudover blev det bredt omtalt, da møbelgiganten Ilva i februar blev dømt til at betale 100.000 kroner. Den bøde er imidlertid en brøkdel af Datatilsynets oprindelige indstilling på 1,5 millioner kroner, og Ilva omsatte i samme regnskabsår for 1,7 milliarder kroner, så bøden lyder på mindre end 0,01 procent. Det er kort sagt fuldstændig ligegyldigt, og i øvrigt er sagen anket, så Ilva har slet ikke betalt noget endnu.
Senest er Danske Bank blevet indstillet til en i dansk kontekst historisk stor GDPR-bøde på svimlende 10 millioner kroner. Finanskæmpen ligger inde med ekstremt følsomme oplysninger om sine mere end tre millioner kunder, og datasløseri i bankens mere end 400 it-systemer er en yderst alvorlig sag. Derfor virkede det også passende med en markant bøde, men selvom 10 millioner kroner lyder af meget, har vi samme problem som med Ilva. 10 millioner kroner er ikke i nærheden af at være et adfærdsregulerende beløb for en gigant som Danske Bank.
GDPR giver ellers mulighed for at udstikke bøder på op til fire procent af en virksomheds globale omsætning. Og med virksomheder som Ilva og Danske Bank på listen taler vi altså her om beløb, der er til at tage og føle på, og som nok kunne sætte beskyttelsen af persondata på dagsordenen i bestyrelseslokalerne rundtomkring. Den mulighed skal Datatilsynet til at bruge, hvis de sanktionsmuligheder, der ligger i GDPR, skal have noget, der ligner en afskrækkende effekt – myndighederne skal op i gear.
Den manglende håndfasthed i anvendelsen af de regler, der beskytter vores allesammens personlige oplysninger, blev illustreret på fornemste vis i denne uge, da Datatilsynet udtalte alvorlig kritik af boligadministratoren Privatbo. Virksomheden blev indstillet til en GDPR-bøde helt tilbage i 2020, men nu må man konstatere, at der ikke følger et girokort med Datatilsynets kritik. En bommert hos politiet har betydet, at sagen er lukket ved en fejl, og af bureaukratiske årsager kan den ikke tages op igen. Det er useriøst og et illustrativt eksempel på, at vi – efter fire år – stadig ikke formår at komme ud over rampen med håndhævelsen af GDPR.
I Danmark har vi samtidig valgt at gå noget nær enegang på bødeområdet. I modsætning til det danske og det estiske datatilsyn kan andre europæiske tilsyn selv udstede administrative bøder til virksomheder og myndigheder, der sløser med borgernes data. Den samme mulighed bør gives til Datatilsynet i Danmark, og det kan kun gå for langsomt. Det vil give tilsynet mulighed for langt hurtigere at få etableret et standardiseret bødeniveau for forskellige typer overtrædelser, som virksomhederne kan forholde sig til.
Den manglende håndhævelse af GDPR står i skærende kontrast til den diskurs, der har hersket om loven, siden den trådte i kraft for fire år siden. Fokus har i høj grad været på virksomhedernes frygt for hårde straffe og rigide regler, der gør det umuligt at arbejde. »Der bliver skudt gråspurve med kanoner,« lød det fra SMV Danmark tilbage i 2020, i forbindelse med at Justitsministeriet skulle evaluere den danske implementering af GDPR. Det standpunkt er i dag svært at indtage med troværdigheden i behold.
Inden længe bliver kravene til it-sikkerheden hos virksomheder og myndigheder i en lang række kritiske sektorer fra energi og transport til medicinproduktion og affaldshåndtering endog strammet, når NIS2-direktivet træder i kraft. Med den nye lovgivning fra EU følger endnu en trussel om bøder, der skal sørge for, at virksomhederne lever op til deres ansvar på sikkerhedsfronten.
Men når vi efter fire år med GDPR-håndhævelse ikke har formået at etablere et adfærdsregulerende bødeniveau, selvom dataskandalerne vælter frem måned efter måned, er det svært at forestille sig, at NIS2 får nogen til at ryste i bukserne.adf
