informationssikkerhed

Persondata, panik og passivitet

”Hvor bliver kinesere indlagt, når de skal på hospitalet?” Spørgsmålet fik jeg på åben gade i København af en munter hospitalsklovn, som var ude og fundraise til de 37 hospitalsklovne, som spreder glæde hos tusindvis af indlagte børn i Danmark. Jeg havde selv indbudt til at lytte til vittigheden, og min velvilje rakte til et økonomisk bidrag til klovnenes arbejde. Klovnen hev en iPad frem og lige dér på åben gade afleverede jeg CPR-nummer og adresse. Var det nu klogt? Var hospitalsklovnen – hin maskerede mandsperson – nu faktisk også en godgørende hospitalsklovn? Hvad er det nu, en ondsindet kriminel person kan bruge mine persondata til?

Jeg var kommet hjem efter en lang ferie i Europa, og de professionelle parader var kun delvist oppe i den rette højde, og hverdagens seletøj var slet ikke solidt spændt på endnu. Da jeg få uger tidligere flyttede ind på campingpladsen nede i de varme lande, afleverede jeg ligeledes en serie af persondata, og hvis jeg havde investeret 15-20 minutter af min dyrebare ferietid i shorts og klip-klappere, kunne jeg gennemlæse tre plancher med campingpladsens lange beskrivelse af sin persondatapolitik. Jeg valgte at lade være. Og jeg var næppe alene. Mon ikke 99 pct. af alle feriegæster undlader at sætte sig ind i persondatahåndtering med to børn i den ene hånd og en gammeldags isvaffel i den anden?

Da familien kom tilbage til vores egne himmelstrøg peakede Pokemon Go feberen til et sted langt højere på termometerets skala end det danske sommervejr. Jagten gik ind, børnene fik lov, og undervejs i processen gav jeg app’en lov til at hente data i Gmail. Ligesom alle andre brugere af Pokemon Go, og her har vi så en global app med adgang til mine lokationer og min Gmail. Uha da da.

Og så ellers afsted på arbejde og ind til det gode forsikringsselskab, som er min kunde, og som netop havde entreret med Microsoft som cloud-leverandør. Men betyder det så – i lyset af skærpede krav til håndtering af personfølsomme data – at et dansk forsikringsselskab skal til at risikovurdere og sikkerhedstjekke sin mange gange større hosting-leverandør?

Alt i alt må man bare konstatere, at vi står på tærsklen til et uoverskueligt, ikke-standardiseret og stadig helt ukendt land af digitaliseret virkelighed på persondata-området. Rækkevidden af teknologien og dens samfundsmæssige virkning er umulig at overskue. Vi har noget viden, men vi har ikke al nødvendig viden, og en gylden standard virker ikke tæt på. Derfor kan vi svinge mellem panik og passivitet og alt sammen indhyllet i et slør af ugennemsigtighed. Det bliver nærmest en instinktiv beslutning i situationen, om man vælger det sikre eller det usikre. For selv om man har nok så meget viden, og selv om man arbejder med GRC og it-sikkerhed til daglig, så er tvivlen jo en fast følgesvend her. EU’s persondataforordning vil givetvis hvirvle en masse støv op, når virksomhederne skal opnå compliance med disse internationale spilleregler på området. Men også privat – altså hvordan jeg skal forholde mig som privatperson – er der rigtig mange spørgsmål, hvor svarene blæser i vinden.

Men et svar har jeg da fået: Kinesere bliver indlagt på rishospitalet.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *