DANSK IT mener: Det er positivt, at Datatilsynet får mange indberetninger i kølvandet på GDPR

Tidligere på måneden kunne man i flere danske medier læse, at Datatilsynet efter den 25. maj, hvor EU-persondataforordningen (GDPR) trådte i kraft, har modtaget over 1.500 indberetninger om brud på datasikkerheden. Det betyder ifølge DR et gennemsnit på 83 sager om ugen. Tallet er interessant, fordi det er den foreløbig mest synlige konsekvens af GDPR. Forordningen betyder nemlig, at man har pligt til at underrette Datatilsynet om alvorlige brud på datasikkerheden. 

Med over 1.500 indberetninger siden den 25. maj, kan man måske foranlediges til at tro, at den står helt galt til med datasikkerheden i Danmark. Især når man sammen med dette tal får at vide, at vi har langt flere sager per indbygger end de fleste andre europæiske lande. 

DANSK IT mener dog, at tallene faktisk indikerer det stik modsatte. For spørgsmålet er, om vi i Danmark ikke kan glæde os over at være et af de lande i verden, hvor flest brud på datasikkerheden bliver opdaget – og også bliver meldt ud til offentligheden. Vi, der arbejder med it til daglig, ville grundlæggende være langt mere bekymrede, hvis antallet af indberetninger til Datatilsynet kun var en tiendedel af det, der er tilfældet. Det ville være for godt til at være sandt – og hvem er tjent med en falsk sandhed?

Brud på datasikkerheden er altid en alvorlig sag, men det kan næppe undgås, uanset hvor mange penge og ressourcer, der bruges på at styrke it-sikkerheden og på at gennemgå processer og retningslinjer for opbevaring og håndtering af data. Vi har derfor brug for den danske tradition for transparens, der er blevet yderligere styrket med reglerne om underretningspligt. Kun ved at få sagerne frem i lyset, kan vi blive bedre til at beskytte de data, som virksomheder og offentlige myndigheder arbejder med. Kun sådan kan vi værne om den tillid, der er så afgørende i vores demokratiske samfund, og kun sådan vi lære af de fejl, der uundgåeligt bliver begået. 

Brud på datasikkerheden er i øvrigt ikke noget, der er opstået med digitaliseringen. Så sent som i denne måned kunne Jyllands-Posten fortælle, at mindst 500 fysiske patientjournaler ved en fejl er røget med i et møbelsalg fra det nu lukkede Give Sygehus. Da der blev afholdt auktion over sygehusets møbler, havde man nemlig overset, at der stadig lå patientjournaler i et arkivskab, der blev solgt på auktionen. Det er langt fra første gang, at vi oplever, at fysiske data kan havne i de forkerte hænder, hvis der ikke er styr på sikkerheden. Det samme gælder de data, vi arbejder med i den digitale verden. Derfor må vi aldrig stoppe med at styrke sikkerheden. Det er underretningspligten med til at holde os op på.    

Vi har som virksomheder og myndigheder en pligt til at gøre alt, hvad der står i vores magt for at beskytte de data, vi arbejder med, og vi har en pligt til hele tiden at blive bedre til dette arbejde. Nu har vi så også en pligt til at underrette Datatilsynet, når der sker alvorlige brud på datasikkerheden. De tal, der kommer ud af denne underretningspligt, afslører ikke, at den står helt galt til med datasikkerheden i Danmark – de understreger tværtimod, at man (heldigvis) kan regne med en høj grad af transparens i et af verdens mest demokratiske og digitaliserede lande.