Skandalen med Nets er ikke alene, at en anløben medarbejder har misbrugt adgang til data, som herefter er blevet anvendt af et kulørt ugeblad. Det er mindst lige så stor en skandale, at nyansatte i Nets – som Version2 kunne fortælle i sidste uge – har kunnet træde direkte ind fra gaden, boltre sig i opslag og svælge i kærestedata uden kontrol og sanktionering.
Nets har i årevis været i søgelyset omkring procedurer for it-sikkerhed – i særdeleshed i forbindelse med NemID – og har konsekvent og altid over for offentligheden markeret, at borgerne kan være trygge, fordi sikkerheden er topprioriteret. Det er åbenlyst ikke korrekt.
Det er næsten ufatteligt at erfare, hvor spinkel en piedestal Nets tidligere er kravlet op på. Helt banale kontroller og sikkerhedsforanstaltninger er fraværende. Det må være helt naturligt, at de norske og danske banker, som ejer Nets, fyrer ledelsen i selskabet. Den har utilgiveligt svigtet sit ansvar for at etablere kontrolsystemer, der kan afsløre, om deres ansatte kigger i eller tapper data, som ikke har noget med den daglige opgave at gøre. Kontrolsystemer, der i øvrigt findes i bankerne.
Men ikke kun ledelsen i Nets lider af alvorlige mangler. Nationalbanken har svigtet sin tilsynsforpligtelse i forhold til at overvåge betalingsformidlingen i Danmark. Det samme gælder Digitaliseringsstyrelsen, som først nu – efter skandalen – vil bede Nets om en redegørelse for, hvordan Nets følger de aftalte procedurer for håndtering af NemID-data. Det er sandelig ikke en krævende opgave at reagere bagklogt.
Nets-skandalen kaster lys over en kaskade af potentielle datamisbrug – i sundhed.dk, skat.dk, borger.dk, nemkonto.dk, virk.dk, e-boks.dk, rki.dk og de over 6.000 andre databaser i Danmark.
Det er alt for tydeligt, at dataejerne ikke har styr på, om deres medarbejdere eller hackere snuser rundt i vores private data på må og få. Der er behov for en gennemgang af lovgrundlaget og for at styrke de stikprøver fra Datatilsynet, der skal tjekke, om der bliver passet godt nok på vores data.
Fremadrettet må det være et ufravigeligt krav, at vi borgere direkte og selv kan slå op, hvad der bliver registreret om os, hvem der har kigget i vores data, og hvem data er udleveret til – f.eks. fra den kommunale sagsmappe til et sygehus. Sundhed.dk er et stykke af vejen: Alle borgere har fri adgang til at se en log over, hvem i sundhedsvæsnet der har kigget på ens data om lægebesøg, medicinforbrug og indlæggelser. Men hvor er den log på de andre tjenester?
Datarådet må tage sin opgave alvorligt. At være ‘betænkelig’ i et høringssvar formuleret i pænt kancellisprog er ikke tilstrækkeligt, når man har til opgave at bevare grundlæggende frihedsrettigheder, som der er kæmpet for i 150 år.
Men Folketinget må også træde i karakter. Borgernes ret til at overvåge egne data og dataanvendelse er i dag afhængig af den enkelte dataejer. De seneste uger viser, at vi ikke længere kan basere vores samfundsmodel på tillid til magtfulde organisationers egne kompetencer og ansvarlige opførsel. Kontrollen med dem må styrkes, demokratiseres og udbredes.
Leave a Reply