Möller Insights – ”Datainspektionen är en tandlös myndighet”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om Datainspektionens omöjliga utmaningar

Datainspektionen är en tandlös myndighet
”Vi skyddar din integritet i IT-samhället” stoltserar Datainspektionen med på sin webbplats. Det är deras motto, mission och uppdrag – helt enkelt blodet som strömmar genom verksamheten och är en stor del av deras existensberättigande.

Men låt oss bli lite mer detaljerade i vad Datainspektionen egentligen arbetar med. Datainspektionen är en tillsynsverksamhet som övervakar behandlingen av personuppgifter så att det inte kan leda till ett intrång i enskilda personers integritet. De ser även till att regler för hantering av denna typ av känslig information följs.

Kort summerat så är det ett uppdrag av en gigantisk omfattning och med ett blytungt ansvar. Hur många har då regeringen avsatt för att täcka det här gigantiska området – knappt 40 personer.

Jag har tidigare skrivit en hel del om Datainspektionen och om du är en trogen läsare så kanske du vet att mina känslor för myndigheten är blandade. Å ena sidan så gör Datainspektionen ett extremt bra arbete där de hittar potentiella säkerhetssvagheter inom offentlig sektor. Å andra sidan så är påföljden inte direkt avskräckande – ett brev med många versaler till de som brutit mot förordningen. I och för sig en offentlig handling, men en offentlig handling som sällan uppmärksammas efteråt. Och därmed blir inspektionen helt enkelt ganska tandlös.

Låt oss ta ett exempel som tydligt visar på problemet med brist på ansvarsägande och påföljd.  Karolinska universitetssjukhusets journalkris under förra året var ett tydligt exempel där det är oklart vems fel det var. Vem bär ansvaret för en bristande IT-säkerhet i journalsystemet och vems fel är det egentligen att så pass känslig information förvaras helt oskyddat? Ofta hamnar det pekande fingret mot en IT-avdelning som sitter på allt mer komplexa system, med fler enheter och en krympande IT-budget. Just det var det som hände i VGR-fallet där IT-ansvarige var den som fick ta på sig ansvaret – trots att IT-avdelningen, år efter år, lämnat larmrapporter om svagheter i IT-säkerheten.

Vad är då påföljden av både de här fallen – vad är konsekvensen av så grov vårdslöshet när det gäller andra människors personliga information? Om vi ska tro vad som hänt i både Karolinska universitetssjukhusets och VGR-fallet så händer nästan ingenting.

Datainspektionen har med andra ord förminskats till en myndighet som kan peka finger – men inte med hela handen. Om inte en tydlig ansvarsbild och allvarliga påföljder finns så kommer incitamentet att arbeta proaktivt och prioriterat med IT-säkerhet aldrig att finnas.

Jag anser att man idag börjar i fel ände – man sätter upp en myndighet för att granska IT-säkerheten utan att sätta extremt tydliga krav. Datainspektionens arbete ska inte vara att jaga de som inte följer regleringar – deras arbete ska vara som vilken myndighet som helst – att se till att regler följs.

Så hur tycker jag att det ska vara kanske ni undrar. Det är enkelt, om ett sjukhus, en skola eller en myndighet ska få tillgång till känslig individinformation så måste de först uppnå vissa typer av säkerhetskrav. Sedan är Datainspektionen en myndighet som garanterar att regleringar följs. Inte jaga den som begått misstaget – utan stå som garant och kvalitetssäkra för att misstagen inte äger rum.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik