PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2013-14
REU Alm.del Bilag 358
Offentligt

WILDERS PLADS 8K

1403 KØBENHAVN K

TELEFON 3269 8888

DIREKTE 3269 8805

[email protected]

MENNESKERET.DK

Tale punkter til møde i den parlamentariske

arbejdsgruppe om databeskyttelse den 26. august 2014

Rikke Frank Jørgensen, forsker Ph.d.

Institut for Menneskerettigheder hilser retsudvalgets arbejde med

databeskyttelse velkommen. Som fremhævet i instituttets årlige

statusrapport er det vigtigt at få sat øget fokus på databeskyttelse

i Danmark.

Beretningens oplistning af emner illustrerer den spændvidde i

problemstillinger, som arbejdsgruppen skal forholde sig

til. Problemstillinger der går langt dybere end Se & Hør sagen; og

som grundlæggende er udtryk for, at emnet ikke hidtil har fået

den fornødne opmærksomhed.

Et gennemdigitaliseret samfund som det danske fordrer et

tilsvarende højt niveau af beskyttelse på såvel retligt, teknologisk

som organisatorisk niveau. Det er vigtigt, at der tænkes i

løsninger og strukturer, der kan sikre et højt niveau af

databeskyttelse og informationssikkerhed i Danmark på længere

sigt. Alternativt kan resultatet blive en stadig stigning i

sikkerhedsbrud, identitetstyverier, lækager af personoplysninger,

kommerciel udnyttelse af personoplysninger, og mangelfuld

beskyttelse af den enkelte borgers retssikkerhed.

I det følgende fokuseres på tre ud af mange mulige

indsatsområder, som instituttet anser som væsentlige.

En styrket indsats for informationssikkerhed og

databeskyttelse

Et af de nuværende problemer er, at databeskyttelse og

informationssikkerhed behandles som enten juridiske eller

22. AUGUST 2014

PDF to HTML - Convert PDF files to HTML files

tekniske emner, frakoblet hinanden. Hvis informationssikkerhed

og databeskyttelse skal gennemsyre praksis i institutioner og

virksomheder, kræver det et tæt samspil mellem retlige

standarder, organisation og teknologisk løsning. Det kræver, at

området opprioriteres politisk, og at det forankres med både

teknisk, organisatorisk og juridisk kompetence og magt – hvad

enten det er i form af en ressortminister, en ombudsmand på

området eller en offentlig institution.

En samlet strategi for informationssikkerhed og

databeskyttelse i den offentlige sektor

Aktuelt er man i gang med at kortlægge sikkerheden ved

betalingskort, men dette arbejde kan ikke stå alene. Det er

centralt, at man får en bredere undersøgelse af, hvordan man

kan forbedre sikkerheden ved behandling af personoplysninger i

den offentlige sektor. Som led i dette bør indgå en kritisk

gennemgang af gældende regelsæt, analyse af interne og

eksterne kontrolmekanismer - herunder behov for at styrke disse,

samt forslag til privatlivsfremmende løsninger, der kan anvendes i

den offentlige sektor. Arbejdet bør munde ud i en

sammenhængende og tidssvarende strategi for området med

pilotforsøg på centrale områder.

Privacy vurderinger og brug af privatlivsfremmende

teknologier i offentlige IT projekter

Det er essentielt, at man i højere grad tænker retlige standarder

og tekniske løsninger sammen. For eksempel at man laver

privacy

vurderinger

(PIA) i forbindelse med opstart af alle nye offentlige

IT projekter og lovforslag, der behandler persondata. Privacy

vurderinger er ikke obligatoriske i Danmark, mens de har været

fast praksis i lande som Canada i flere år.

Privacy vurderinger indebærer blandt andet en

proportionalitetsvurdering, risikovurdering, angivelse af tekniske

og organisatoriske forholdsregler, og sikkerhedsforanstaltninger

ved påtænkte overførsler til tredjeland, mv.

Ligeledes skal privacy som en naturlig og obligatorisk

komponent tænkes ind i forbindelse med design af nye IT

systemer (såkaldt

”privacy by design

”). Offentlige IT projekter

skal i langt højere grad gøre brug af

privatlivsfremmende

teknologier

, både ved nye IT løsninger men også når man skal

gentænke for eksempel CPR løsning eller Nem-id.

2/3

PDF to HTML - Convert PDF files to HTML files

Særligt den canadiske model for privacy vurderinger kan tjene

som inspiration for en dansk skabelon. Udgangspunktet er her, at

man starter med en vurdering af, hvorvidt og i hvilke situationer

identifikation af borgeren er nødvendig.

Instituttet vil foreslå, at man får privacy vurderinger indarbejdet

som fast obligatorisk praksis i tilknytning til de ISO standarder

(ISO27001) og den projektskabelon, som offentlige IT projekter

skal følge. Samtidig vil instituttet foreslå, at man styrker

kontrollen med, at offentlige IT projekter og deres leverandører

efterlever de standarder for informationssikkerhed og

databeskyttelse, der er foreskrevet i sikkerhedsbekendtgørelsen

og ISO27001 standarden. Endelig bør man sikre, at privacy

vurderinger udarbejdes i forbindelse med nye lovforslag på linje

med analyse af miljømæssige eller økonomiske konsekvenser af

lovforslaget.

Der henvises i øvrigt til instituttets årlige Statusrapport, hvor

databeskyttelse er særskilt behandlet. Heri indgår også et afsnit

om sociale medier og problemet med at kontrollere og håndhæve

databeskyttelse overfor disse og andre internettjenester, der

opsamler og videregiver personoplysninger om danske borgere.

3/3