LEDER: Vores persondata sejler rundt i det offentlige. Snageriet skal standses nu

Det danske samfund er et af de mest gennemdigitaliserede og -registrerede i verden, og få steder på kloden ved de offentlige myndigheder mere om et lands borgere, end de gør her.

Det kommer der mange gode ting ud af. Oplysningerne bruges til at udvikle de digitale løsninger, som mange af os sætter pris på. Data er en afgørende årsag til, at det trods alt er noget lettere at ordne sin skat i Danmark end i eksempelvis USA, og at man som patient i det danske sundhedsvæsen ikke behøver at starte helt forfra, hver eneste gang man møder en ny behandler.

Men det betyder også, at den offentlige sektor har et enormt ansvar for at passe på de massive datamængder om os alle, den ligger inde med. Et ansvar, som man tydeligvis ikke lever op til.

I den forgangne uge kom det således frem, at en enkelt tidligere it-medarbejder i Region Hovedstaden alene har misbrugt sin systemadgang til at snage mere end 17.000 gange i over 100 forskellige danske borgeres persondata. Data, der i god tro er afleveret til det sundhedsvæsen, vi alle sætter pris på.

Tallet er chokerende, men problemet er gammelt. Helt tilbage i 2014 råbte eksperter vagt i gevær over, at alt for mange mennesker i den massive sundhedssektor har adgang til alt for mange data, som de ikke har brug for at have adgang til. Samtidig udkom Rigs­revisionen med en yderst bekymrende rapport om, at store dele af den offentlige sektor ikke havde opdaterede retningslinjer for, hvordan man skal sikre behandlingen af fortrolige personoplysninger.

Siden er der ikke for alvor sket noget, og igennem de senere år har der været adskillige sager – som den om sygeplejersken, der snagede i hundredvis af kendte danskeres og fremtrædende politikeres sundhedsjournaler, eller den om den ansatte på Rigshospitalet, der fodrede sin kæreste med sundhedsdata om en tidligere samlever midt i en konflikt om forældremyndighed.

Eksemplerne er for mange, og som offentligt ansat med minus på den moralske konto, kræver det ikke den store fantasi at forestille sig, hvad man kan misbruge de mange data til. Oplysninger om kendte danskere kan være mange penge værd, det har vi set adskillige eksempler på, og et slagsmål om forældremyndighed kan pludselig tage en endnu mere dyster drejning, hvis den ene part pludselig har adgang til den andens journal fra psykiatrien.

Man kan nemt forfalde til at tro, at problemet er isoleret til sundhedssektoren. Det ville være slemt nok i sig selv, men det er desværre ikke tilfældet. Det var således skræmmende læsning, da det i februar kom frem, at ansatte ved dansk politi flere gange har misbrugt deres adgang til it-systemet POL-INTEL til at snage i borgeres privatliv.

Kigger man på, hvordan myndighederne forsøger at komme snageriget til livs, tegner der sig et broget og utilstrækkeligt billede. I store dele af sundhedsvæsenet baserer man sin sikkerhed på mere eller mindre kvalificerede stikprøveoperationer i stedet for systematisk kontrol. Andre steder har man såkaldt automatiseret logopfølgning, men hvis man spørger til, hvordan det fungerer, får man at vide, at det er hemmeligt, og outputtet er begrænset til, at algoritmen sender en stak med potentielt mistænkelige opslag videre til den enkelte afdelingsleder, som han eller hun så skal finde ud af at gå videre med.

Fælles for aktørerne i sundheds­væsenet er, at de ikke har noget, der bare nærmer sig et centralt overblik over uberettigede opslag i deres it-systemer, og de tal, man trods alt kan få ud af dem, vidner om et problem, der udvikler sig i den forkerte retning.

En ting er, at det for den enkelte borger er et overgreb af dimensioner, når uvedkommende stikker snuden i dybt personlige oplysninger. Noget andet er, at problemet risikerer at underminere den tillid, der er helt afgørende for fremtidens digitale offentlige sektor. Ser man nærmere på de anbefalinger fra det såkaldte digitaliseringspartnerskab, der efter alt at dømme skal være udgangspunktet for regeringens digitaliseringspolitik, skal alt fra sundhedsvæsen til studievalg være ‘datadrevet’.

Samtidig er forventningerne høje til de oplysninger, patienterne selv indrapporterer, de såkaldte PRO-data, og både skattevæsenet og andre dele af det offentlige længes efter mere sammenkøring af større datasæt på tværs af flere myndigheder.

Det kan der i visse tilfælde være ræson i, hvis man vel at mærke husker etikken. Men først og fremmest skal man som borger kunne have tillid til, at ens data er i sikre hænder hos det offentlige i Danmark, og det kan man ikke i dag. Derfor skal der fra central hånd laves stramme regler og standarder for segmentering og databeskyttelse, så de mange offentligt ansatte kun har adgang til de oplysninger, de skal bruge for at udføre deres arbejde. Både for deres egen og for vores allesammens skyld.

Det kan kun gå for langsomt.

Emner : GDPR
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Det er jo ikke noget nyt problem, bortset fra, at det kan gå meget hurtigere i dag. Jeg oplevede - længe før nogen kunne stave til IT - at naboen der arbejdede "på kommunekontoret" kunne fortælle hvor mange børn de andre naboer havde uden for ægteskab, hor meget konen var ældre end manden, mv. Det er selvfølgelig ingen undskylsdning at sådan var det også "i gamle dage"

  • 2
  • 2

Regler alene gør det ikke, så lederen taler også for mere bureaukrati, der skal overvåge tusindvis/ titusindvis af medatrbejdere i sundhedsvæsenet og alle mulige styrelser. Husk at samme medarbejder i forskellige jobs skal have adgang mange forskellige personoplysninger

  • 3
  • 2

et eksempel fra den virkelige verden. i 2013 var jeg så uheldig, at få en blodprob i hjerne, her støder man på flere instanser indenfor systemet.

man underskriver diverse erklæring om at, de selvfølgelig godt må læse ens journal.

i flere tilfælde undrede jeg mig over, at skulle gentage mit forløb.

i nogle tilfælde tvivlede jeg på om de overhovede kan læse.

når man forlade region og overgår til kommunen der ofte overtager genoptræning,

her går det helt galt. som i alle tilfælde med den slags system er operatøren afgørende, da vi er forskellige som mennesker. er der nogen hvor kæden er faldet af her er det op ad bakke fra start. så meget at man bliver bekymret for landets fremtid. som hjælp til andre, da der er mange som rammes af denne kedlige sygdom. skrev jeg en bog til hjælp for dem, den hedder den guddommelige offentlige tragikomedie, titlen skyldes brug af dante og grækkernes tanker om helvede. som man vil kunne læse i bogen er der ros til dem som fortjener detog ris til dem der ikke består.

  • 2
  • 1

Eller .... jo det er det, men problemet er endnu større ved at rigtig mange benytter cloud løsninger der ligger udenfor Danmarks og EU's grænser til at opbevare disse data i eller kopier deraf, enten direkte som dokument lagring eller til sharings formål.

Det er, på trods af den megen opmærksomhed der ellers har været om det, mere normen end undtagelsen (som jeg ser det) at Google Docs benyttes til skole arbejde. Tilsvarende Facebook grupper, Teams m.m.

Som jeg ser det kan man lukke GDPR op og aflevere en velanrettet Putin i, da den generelle deling af data på tværs af lande og kontinenter efter min mening er helt udenfor kontrol.

  • 1
  • 2

Ydermere er min oplevelse af Datatilsyn, at hvis man klager over at der uden lovhjemmel tilgås personlige oplysninger, at Datatilsyn vil dække over den instants der bryder loven. Datatilsyn kræver at du kommer med håndfaste beviser for at undersøge sagen, men nægter adgang til de nødvendige oplysninger, da GDPR beskytter firmaet mod at behøve udlevere de oplysninger. Også selvom du kan bevise at et firma fx pludselig har din hjemmeadresse, selvom du aldrig har brudt loven eller oplyst denne.

Datatilsyn bruger øjensynligt GDPR for at beskytte firmaer fra borgere der kræver indsigt.

Myndighederne har jo givet diverse private firmaer (alle parkeringsselskaber fx) fri og ukontrolleret adgang til personfølsomme oplysninger i motorregister, uden at man som borger kan gøre noget - og skønt du intet har gjort der giver lovhjemmel ifølge GDPR til at et firma må tilgå disse data. Så nej, ingen kan være forundrede over at det offentlige ingen styr har på persondata, da de jo selv har konstrueret et system der beskytter at private firmaer misbruger persondata.

  • 5
  • 1

Hvorledes forholder Ingeniøren sig til den massivt grænseoverskridende, og i lyssky sammenhænge meget interessante dataopsamling et roadpricingsystem vil medføre?

Kan Ingeniøren stadig lobbye for roadpricing, og prædike datasikkerhed?

Skal en række regler udtænkt på en høj hest være den garanti vi får?

  • 4
  • 5

sådanne omfatter bl.a. meget ofte diverse spørgeskemaer. Jeg har tidligere bidraget til flere.

Det ophørte jeg med, bla. fordi jeg op tll og efter pensionsalderen per tlf. er blevet kontaktet meget ofte af tvivlsomme personer. fx folk der udgav sig fra at ringe fra pensionsselskabet, fra banken, fra dit, dat og dut. De skal lige have nogle oplysninger, typisk af direkte eller indirekte økonomisk eller personlig, helbredsmæssig interesse. Spørger man ind til, hvad de egentlig repræsenterer, ryger forbindelsen gerne. Ligesom de mange breve fra hørevirksomheder osv. For år siden var det folk nok fra fjerne lande, der på gebrokkent engelsk forsøgte at bilde én et og andet ind. Nu taler de pæredansk, og der synes rigtigt mange af dem. De kender ens alder, ved hvor man bor mm. Hvor mon de dog har disse oplysninger fra?

I en nylig artikel på ing spurgte en medicinsk forsker til, hvordan man får ældre til at deltage i medicinsk forskning. Skribenten mente selv at det især er besværet med transport ol., der får ældre til at vælge fra. Et andet bud er, at det alt-gennemtrængende, sjuskede informationssamfund er et slaraffenland for kriminelle /en savanne med lettilgængelige, populære vandhuller og nogle befolkningsgrupper er så udpeget til rollen som trebenede zebraer.

  • 3
  • 4
Bidrag med din viden – log ind og deltag i debatten