Persondatalæk skal nu offentliggøres

Efter hvad jeg har læst i pressen, synes der at være en ganske interessant bestemmelse i den telepakke, som EU-parlamentet forleden dag vedtog, og som synes at være forblevet uantastet af de medier, jeg læser.

Det drejer sig om den bestemmelse, der siger, at hvis der sker læk af personlige data, skal de personer, hvis data er blevet lækket, underrettes om dette.

Med Comons ord: "[T]elevirksomheder nu har pligt til at informere både myndighederne og de berørte kunder, hvis der er sket brud på sikkerheden omkring opbevaringen af persondata såsom email, navn og IP-adresse."

Mens vi venter på, hvordan det helt nøjagtigt vil blive fortolket og indført i national lovgivning, må man prise sig lykkelig over denne udvikling.

Der er tale om en bestemmelse, som USA, England (og muligvist også andre lande) har haft i en årrække. Erfaringerne herfra siger, at en offentligtgørelse af sådanne datalæk ofte resulterer i en gabestokeffekt, som firmaer naturligvist vil forsøge at undgå - dette gøres ved at investere mere i datasikkerhed.

Danmark har hidtil ikke haft en sådan regel, og det betyder, at Datasikkerhedsrådet ikke altid har vidst, hvis der er sket datalæk - og derfor dårligt har kunnet skride ind.

Datasikkerhedsrådet har i forvejen en arbejdsgiver (Justitsministeriet), som ikke synes at tage privathed særligt alvorligt. Det er derfor dejligt at se, at Justitsministeriet nu bliver nødt til at rette ind og indføre loven, nu hvor de ikke selv ville.

Det bliver spændende at se, hvor mange læk der rapporteres. Det afhænger selvfølgeligt meget af, hvordan lovgivningen kommer til at se ud, men erfaringerne fra udlandet viser, at persondatalæk sker forbavsende ofte. Til trods for danskernes opfattelse af at være bedre end alle andre er der vel næppe grund til at tro, at danske firmaer er bedre til at passe på persondata.