Den senaste veckan har rubrikerna kretsat kring datasäkerhet, läckta patientuppgifter och hur man ska gå till väga då sådant händer. Härvan kring det som skett på psykoterapikedjan Vastaamo är i högsta grad exceptionell och tankarna går till dem som drabbats av händelserna. Även om man en längre tid redan fäst allt större uppmärksamhet vid datasäkerhet visar det här fallet på de faktiska brister som finns. För bara någon vecka sedan kunde vi läsa om att det också finns stora brister i kommunernas datasäkerhet. Det här borde nu fungera som en väckarklocka. Lika mycket som vi är måna om vår fysiska egendom och satsar på fysiska byggnaders säkerhet borde vi satsa på att låsa den digitala dörren och den digitala egendomen. I praktiken hänger den här utvecklingen ändå efter.
Det är beklagligt – men kanske beskrivande - att det måste hända en sådan stor och allvarlig sak som fallet Vastaamo för att vi faktiskt ska förstå att större förändringar är nödvändiga. Problemet kanske delvis ligger i att datasäkerhet för den stora massan ännu uppfattas vara något diffust. Det är lättare att förstå en händelsekedja där någon fysiskt bryter sig in i ett hus för att stjäla egendom än att förstå och vidta förebyggande åtgärder mot ett virtuellt dataintrång. Nu då känsligt material av privatpersoner läckt ut förstår vi också hur allvarliga konsekvenser dylika dataintrång faktiskt kan få. Visst är vi idag mer upplysta kring hur företag kan utnyttja personlig data och att det lönar sig att tänka efter en extra gång innan man ger sitt godkännande åt höger och vänster. Men då den vanliga medborgaren ger upp känsliga datauppgifter måste man kunna lita på att den används ändamålsenligt och bevaras på ett säkert sätt. I det stora hela måste den enskilda medborgaren kunna lita på att regelverket fungerar – man kan helt enkelt inte syna varje process själv.
Inom EU har tankarna redan en längre tid kretsat kring ett gemensamt regelverk för datasäkerhet. Ett steg som redan tagits är EU:s dataskyddsförordning – bättre känd under namnet GDPR. GDPR reglerar behandlingen av våra personuppgifter och ger oss fler metoder för att styra behandlingen av våra uppgifter. I den enskilda medborgarens vardag har GDPR främst varit synonym med att det blivit krångligt, men senast nu förstår vi nyttan av den. Vi lever en alltmer digitaliserad vardag där datasäkerheten inte kan och får ses som något sekundärt. Samtidigt väcker senaste tidens händelser frågor kring om vi alls är rustade för en alltmer digitaliserad vardag?
Trots alla dessa regelverk är det ändå inställningen till säkerheten som är en av de största utmaningarna. Faktum är att jag under det senaste året blivit ombedd av ett par stora bankkoncerner att skicka min personbeteckning per e-post till dem i och med att jag är politiskt aktiv. Jag har vägrat. Jag har snällt men bestämt meddelat att jag inte skickar känslig information via e-post. Det här fått mig att fundera. Om en så säkerhetsmedveten sektor som banksektorn ber mig skicka känslig information per e-post – ja då är det nog som att duka upp ett smörgåsbord för digitala tjuvar. Det hjälper inte att framdörren är låst om terrassdörren ändå står på vid gavel.
Av en händelse så är lagstiftningsarbete kring datasäkerhet högaktuellt också i riksdagen. Där behandlar vi som bäst uppdateringen av lagen om tjänster inom elektronisk kommunikation. Som lagstiftare är det vår plikt och vår skyldighet att se till att våra lagar skyddar medborgarna då olika former av brott begås. Det är hög tid att bättre anpassa både vardag och lagstiftning till det digitala. I dagens alltmer digitaliserade värld kan vi inte låta bli att ta datasäkerheten på största allvar. Det utmanande i den här frågan är att stifta sådana lagar som skyddar oss i händelser vi ännu inte känner till.
