Datatilsynets brændende ønske om bøder rammer de mest udsatte borgere

Iveren efter at kunne statuere et eksempel, har fået Datatilsynet til bevidst at holde et datalæk åbent i flere måneder. Dermed ignorerer Datatilsynet den rådgivningspligt, som de er sat i verden for at håndtere.

”Stands ulykken og giv derefter hjælp. Det er det første, alle børn og voksne lærer, når der sker uheld og ulykker. Men sådan har Datatilsynet det åbenbart ikke. Her prioriteres ønsket om at politianmelde og udstede størst mulige bøder frem for borgernes sikkerhed og hjælp til virksomheder,” siger Birgitte Hass, adm. Direktør i IT-Branchen.

Et tydeligt eksempel på dette er i sagen om terapiportalen GoMentor, hvor et datalæk blev hemmeligholdt overfor virksomheden og dens brugere i tre måneder.

Datatilsynet var mere interesseret i at indsamle data for at afdække omfanget af problemet, end at sørge for at hullet blev lukket. Og som følge heraf kunne man uretmæssigt få adgang til data om de personer, der havde brugt portalen til at søge psykologhjælp.

”Vi taler om nogle af de mest udsatte og skrøbelige mennesker i Danmark, som Datatilsynet bevidst undlader at hjælpe, fordi de hellere vil statuere et eksempel. Dermed har Datatilsynet fuldstændigt misforstået deres vigtigste rolle, nemlig at være med til at lukke eventuelle sikkerhedshuller gennem rådgivning og hjælp til virksomhederne,” udtaler Birgitte Hass.

GoMentor blev heller ikke underrettet, så de kunne lukke hullet. De blev til gengæld politianmeldt af Datatilsynet, hvilket de først blev gjort opmærksom på, da en journalist kontaktede dem.

”Det svarer jo til, hvis politiet opdagede en bil, hvis bremser ikke virkede, og så lod den køre rundt i tre måneder for at indsamle beviser for, hvor mange ulykker den kunne nå at begå. Sådan bør ingen offentlig instans agere – og slet ikke når det handler om udsatte borgere,” siger Birgitte Hass.

IT-Branchen lancerede tidligere i år et sikkerhedskodeks for indrapportering af sikkerhedsbrister, som netop fortæller, hvordan man som virksomhed, borger og offentlig instans skal agere, hvis man falder over et sikkerhedsbrist.

”Et af de væsentligste principper fra dette kodeks er, at man hurtigst muligt skal meddele rette systemejer eller it-leverandør, når man bliver opmærksom på fejl og sikkerhedsbrister. Vi kunne kun ønske os, at Datatilsynet agerede herefter og holdt fokus på at stoppe hullet og derefter at sikre, at det ikke sker igen,” slutter Birgitte Hass.