Åbningen af Mit.dk var en katastrofe – og det taler vi alt for lidt om
Vi må ikke glemme, at lemfældig omgang med vores private data er skandaløst, og at der er et behov for at stille de offentlige myndigheder og deres it-leverandører til ansvar.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
53 minutter. Så hurtigt måtte det profilerede Mit.dk-system lukke ned igen efter åbningen 21. marts. Angiveligt fordi uvedkommende kunne få adgang til nogle borgeres postkasse, dvs. potentielt dybt følsomme og personlige oplysninger.
Administrerende direktør André Rogaczewski fra leverandøren af systemet, Netcompany, beklagede efterfølgende dybt, bl.a. i en artikel på tv2.dk, hvor han forklarede, at nedlukningen skyldtes en menneskelig fejl. Og siden har der været ret stille om den sag.
Det er, som om vi er ved at blive mætte af historierne om, at vores personlige data fra tid til anden bliver eksponeret, og medieinteressen virker til at være dalende. Ofte bliver de ansvarlige og it-eksperterne enige om, at det er for dårligt, der bliver undskyldt – og dagen efter går livet jo videre uden synlige forandringer. Denne tendens er særdeles farlig af mindst to grunde.
For det første bliver offentligheden – dvs. alle vi forurettede borgere – ofte spist af med forklaringer, som simpelthen ikke holder vand, f.eks. burde André Rogaczewskis forklaring om, at nedlukningen skyldes en menneskelig fejl få alle alarmklokker til at bimle og bamle hos de ansvarlige myndigheder og i medierne.
Et it-system, som er sårbart overfor menneskelige fejl, er simpelthen ikke et gennemtænkt system. I vores optik er det en designfejl. Det er tankevækkende, at veletablerede kommunikationsapplikationer som f.eks. Whatsapp og Signal, som er baseret på end-to-end-kryptering, nærmest umuliggør, at uvedkommende får adgang til brugernes kommunikation, mens det offentlige Danmarks nye kommunikationssystem til 202 mio. kr. ikke har formået det samme.
For det andet er der blandt de ansvarlige og i medierne en godt-det-ikke-gik-værre-holdning til de mange eksempler på lemfældig omgang med vores data. Det virker som om, at de ansvarlige myndigheder og it-leverandører kan slippe af sted med at lade, som om at der er ikke sket en skade, når borgeres personlige data ikke har været tilstrækkeligt beskyttet. Men det er der altså. Vi kender bare ikke konsekvenserne endnu.
Når vores private data bliver lækket, kan der gå flere år, før det bliver brugt imod os, og når vi f.eks. får vores identitet stjålet, vil vi ofte ikke vide, at det er, fordi vores personlige data tidligere har været tilgængelige for uvedkommende.
Selv om identitetstyveri og lignende måske ikke er direkte livsfarligt, kan det have ganske alvorlige konsekvenser for den enkelte borger, og måske skulle de ansvarlige myndigheder finde inspiration i sundhedssektoren og luftfartindustrien, hvor menneskelige fejl kan koste liv, og hvor mange it-systemer derfor tager højde for samme.
Derudover kunne man overveje, om det ikke er på tide at indføre et sanktionssystem, hvor myndigheder og it-leverandører kan stilles til ansvar for lemfældig omgang med vores data, således at vi borgere ikke blot er tvunget til at acceptere, at døren til vores personfølsomme oplysninger gang på gang står pivåben eller ulåst.
