Danske virksomheder og organisationer er fabelagtig gode til at passe på folks personfølsomme oplysninger, og tab af data sker meget sjældent her i landet.
Og da slet ikke i samme omfang som i USA, hvor datatab er ganske almindeligt.
Sådan ser den lyserøde virkelighed ud for danskere, der ikke er klar over, at de ikke har krav på at få det at vide, hvis deres personlige oplysninger falder i hænderne på de forkerte.
I USA har de fleste stater tilsluttet sig en lov, der siger, at det skal offentliggøres, hvis man som privat eller offentlig virksomhed mister kunde- eller borgerdata.
I slemme tilfælde skal de berørte kontaktes individuelt, og virksomheden eller organisationen, der har mistet data, skal annoncere tabet i et landsdækkende medie.
I Danmark bør man fortælle det til de berørte, hvis man har mistet deres data, men man skal ikke gøre det.
Truet ville gerne have haft besked
En af de borgere, som gerne ville have haft det at vide, da hans personlige oplysninger havnede i de forkerte hænder, er Kurt Loftkjær.
Han opdagede først, at han havde været udsat for et datatab, da oplysningerne blev brugt til at true ham og hans familie på livet.
Oplysningerne var blevet trukket ud af CPR-registreret af en kriminel politimand, som forsynede en tidligere kollega, der drev et detektivbureau, med oplysninger.
Men ingen fandt på at informere Kurt Loftkjær. Det skal man jo heller ikke, selvom man selvfølgelig bør.
"Man bør straks underrette den berørte. Det sætter personen i stand til at reagere rationelt på de konsekvenser, som datatabet kan have," sagde Kurt Loftkjær til Computerworld i januar.
Venter stadig på svar
Han var og er forståeligt nok meget berørt af sagen, men han skal ikke regne med at få hjælp af regeringen.
Computerworld rettede tidligere i år disse to spørgsmål til justitsminister Lene Espersen (K):
Mener justitsministeren, at Danmark bør indføre en lov, der tvinger offentlige såvel som private virksomheder til at offentliggøre det, hvis de mister personfølsomme oplysninger, eller disse data på anden vis kompromitteres?
og
Bør en person, hvis personfølsomme oplysninger lækkes af enten privat virksomhed eller offentlig myndighed have lovmæssig krav på at blive informeret om datatabet øjeblikkeligt?
Computerworld venter stadig på svar fra Lene Espersen.
Mening i et døgn
Til gengæld mente justitsministerens partifælle, de Konservatives it-ordfører Mike Legarth, at det var en glimrende ide at få en lov, der erstatter det ubrugelige 'bør' i Datatilsynets reglementer, med et håndfast 'skal'.
Han mente det imidlertid kun i et døgns tid.
Så ringende ringede han og meddelte, at han efter samtale med justitsministeren nu har den opfattelse, at der ikke er nogen problemer, og at Datatilsynets reglementer virker efter hensigten.
Oppositionen i Folketinget så til gengæld gerne, at der var pligt til at oplyse folk om, at deres data er blevet kompromitteret.
”SF vil have sikkerhed for, at forbrugerne og borgerne får at vide, om der er sket noget med deres data, når uheldet er ude, inden de eventuelt kan erfare det via medierne, som henleder Datatilsynets opmærksomhed på problemet,” siger Hanne Agersnap, SF’s it-ordfører.
På baggrund af Computerworlds artikler om sagen bad
SF justitsministeren om en redegørelse fra Datatilsynet for, hvor mange sager, som tilsynet har kendskab til inden for de seneste fem år, hvor der har været brud på datasikkerheden og uvedkommende har fået kendskab til personfølsomme oplysninger.
Datatilsynet skulle også oplyse, om de berørte borgere i de enkelte sager, er blevet hurtigt og korrekt underrettet.
Svar er ikke betryggende
SF havde mere held end Computerworld med at få besvaret sine spørgsmål af Lene Espersen.
Men svarene er langt fra betryggende.
Datatilsynet ved ganske enkelt ikke, hvor mange sager, der har været de seneste fem år, lyder det i justitsministerens svar til Hanne Agersnap.
Datatilsynet gætter på, at der har været under 100 tilfælde, enten i form af utilsigtet offentliggørelse af personlige data, eller tab af data i forbindelse med tyveri eller sikkerhedsbrist.
Svaret blæser i vinden, fordi ”sager af denne karakter er ikke specifikt markeret i tilsynets journalsystem, og antallet kan derfor ikke umiddelbart søges frem.”
Praksis har været, at de berørte borgere er blevet underrettet via medierne eller med en personlig henvendelse, hedder det i redegørelsen
Justitsministeren henviser til Datatilsynets retningslinier om håndtering af en situation, hvor der utilsigtet er blevet offentliggjort personoplysninger på internettet.
Hvem vurderer relevansen?
Retningslinierne er en sammenfatning af tilsynets praksis og indeholder under henvisning til persondatalovens paragraf 5, stk. 1, om god databehandlingsskik blandt andet en anbefaling om underretning af berørte personer, hedder det videre i justitsministerens svar.
”Efter persondataloven kan der således allerede i dag stilles krav om, at berørte borgere, når det er relevant, får underretning om, at uvedkommende har fået kendskab til personlige oplysninger om dem. Justitsministeriet finder derfor, at der ikke er behov for (yderligere) at lovgive på området.”
Dermed er det op til den enkelte virksomhed og organisation selv at vurdere, hvornår det er relevant at informere de berørte om datatabet.
Det sker måske, måske ikke. For der er stadig ikke noget krav om, at man skal - selvom man ganske vist bør.
Kønsskifte i Second Life
At det kan være svært at vurdere, hvor bagatelgrænsen egentlig går, er den historie, som it-sikkerhedsekspert Ulf Munkedahl, direktør i FortConsult, fortæller et eksempel på.
Hvis ens koder til det virtuelle parallelunivers Second Life blev lækket eller stjålet, hvordan bør Linden, der er virksomheden bag, da reagere?
Det er jo bare et slags spil, så hvor vigtigt kan det være, når man bare kan oprette en ny avatar, hvis der sker noget med den gamle?
"Det gælder muligvis for de fleste, men sandsynligvis ikke for den mand, der efter at have levet i Second Life som kvindelig avatar, fik foretaget en kønsskifteoperation, fordi han opdagede, at han hellere ville være af det modsatte køn. Mon ikke, man kunne have presset penge ud af ham, hvis man havde haft hans Second Life-login?,” spørger Ulf Munkedahl.
Ingeniøren, der blev truet på livet efter en politibetjents ulovlige omgang med hans data, ville også gerne have haft muligheden for at vælge, om de lækkede oplysninger om ham og hans familie, var relevante.
”Den enkelte borger er formentlig den nærmeste til at vurdere relevansen af opslag i hans egne personfølsomme data," siger Kurt Loftkjær.
Lov som i USA
Ulf Munkedahl mener, at Danmark bør have lov, som den man har i USA.
”Det mener jeg både som professionel it-sikkerhedsmand og som privat forbruger. Jeg skal da have ret til at få det at vide, hvis der er nogen, der mister mine oplysninger,” siger han.
Han peger på, at de amerikanske virksomheder i dag, regner udgifterne til at skulle informere folk i forbindelse med eventuelt datatab, med i it-sikkerhedsbudgettet.
”Alene udgiften til breve med porto er enorm, hvis man skal informere flere millioner kunder om, at deres oplysninger er blevet kompromitteret. Det er i øjeblikket et af de amerikanske it-chefers bedste argumenter, når der skal investeres i sikkerhed,” fortæller han.
Danmark mangler den lov
I Danmark har vi få kendte eksempler på store datatab.
Muligvis fordi, vi ikke har kravet om offentliggørelse, for så er det svært at sige, om der har været sager eller ej.
”Vi mangler sådan en lov i Danmark. Jeg har på det seneste talt med en del amerikanske sikkerhedsfolk. De undrer sig virkelig over, at det ikke koster danske virksomheder noget at have dårlig sikkerhed,” siger Lars Neupart, direktør og stifter af it-sikkerhedsvirksomheden Neupart.
Han vil også gerne vide det, hvis nogen har mister hans data.
”Det er en god idé, hvis danske virksomheder var forpligtet til at informere de berørte.”
Det skal ikke være information for informationens skyld, og han ønsker ikke amerikanske lovgivningstilstande.
”Med det må gerne være tydeligere, hvis man kvajer sig. Det er folks private oplysninger, så det vil være rimeligt at informere ved tab," siger han.
Han mener, at der skal en bagatelgrænse og en rimelighedsbetragtning.
"Men det tror jeg nu også, at vi som danskere kan finde frem til,” siger Lars Neupart.
Virker kravet om offentliggørelse?
Computerworld har sammen med analysehuset Userneeds spurgt danskerne, om det skal være et lovkrav, at borgerne informeres, hvis deres data mistes.
Det svarer 93 procent af den danske befolkning ja til.
En undersøgelse, som er omtalt af Computerworlds søsterblad, TechWorld, i Australien, siger imidlertid, at effekten af den amerikanske lov om meldepligt ved datatab, ikke har ført til et fald i antallet af identitetstyverier i de 43 amerikanske stater, der de seneste fem år har gennemført loven.
Undersøgelsen baserer sig på oplysninger fra et websted, hvor folk, der har fået kompromitteret deres data, selv har skrevet ind, hvilket behæfter undersøgelsen, der er foretaget af forskere ved Carnegie Mellon-universitetet, med en vis usikkerhed.
Desuden bliver identitetstyvenes metoder stadig mere raffinerede, hvilket kan forklare, at antallet af sager ikke falder.
