BLOG: Datatilsynet har snakket med borgere, der har været udsat for ubehagelige hændelser på grund af oplysninger offentliggjort på nettet. Dette understreger behovet for god datasikkerhed. Det er vigtigt, at myndigheder og virksomheder passer på personoplysninger, men borgerne skal også selv passe på, hvad de lægger på internettet. Samtidig viser historien, at borgerne ikke altid kender risikoen, og at der fortsat er brug for at informere.
Det startede med en henvendelse fra en journalist. I Datatilsynet får vi ofte tips om sikkerhedsbrister. Samtidig modtager vi som regel også oplysninger om, hvordan fejlen kan ses - herunder f.eks. links til de adresser på nettet, hvor oplysninger er gjort tilgængelige.
Tit må både vi og de berørte dataansvarlige i gang med brandslukning. Personnumre og andre fortrolige personoplysninger ligger på nettet, og journalisten er på vej med sin historie. Jeg appellerer gerne til, at man ikke bringer historien, før oplysningerne er væk fra nettet. For offentliggørelsen vil jo gøre skaden værre. Mange flere vil blive opmærksomme på fejlen og dermed på oplysningerne.
Typisk vil vi i Datatilsynet straks tage kontakt til de dataansvarlige og bede dem gøre noget ved problemet. Vi giver de råd, som vi også har på vores hjemmeside om Utilsigtet offentliggørelse på internettet. De oplysninger om fejlen, som vi har fået eller selv fundet frem, giver vi til den dataansvarlige.
CV'er på internet I forbindelse med sådan en henvendelse fra en journalist fik vi oplysninger om en lang række hjemmesider, hvor han havde fundet personnumre offentliggjort. Og vi tog straks affære. Det var en større omgang, så en håndfuld medarbejdere var i sving med at ringe rundt og få sat myndigheder og virksomheder i gang med at få oplysningerne fjernet.
Samtidig sendte journalisten os en række yderligere adresser, hvor han havde fundet CV'er med personnumre, men hvor det ikke lignede sikkerhedsbrister. Det så ud til, at det var personerne selv, der havde offentliggjort oplysningerne.
Persondataloven blander sig ikke i, hvad borgerne gør med deres egne oplysninger. Så det var egentlig ikke en sag for Datatilsynet.
Vi valgte alligevel at prøve at komme i kontakt med de 42 berørte personer for at gøre dem opmærksomme på, at oplysningerne kunne findes på nettet.
Vi fortalte også om risikoen for identitetstyveri, som øges, når man offentliggør sit personnummer sammen med navn, adresse og lignende.
Nogle af personerne fik vi fat i via telefon, og ellers sendte vi besked på email.
Vi snakkede med 31 personer. De fleste kunne godt huske, at de havde lagt deres CV på internettet. Men de havde ikke tænkt på, eller de havde glemt, at det indeholdt personnummer. Enkelte var ikke klar over, at det kunne være et problem.
Af de 31 personer sagde 7, at de var blevet udsat for identitetstyveri. Vi kan jo ikke vide, om det offentliggjorte personnummer var årsagen til det, de havde oplevet. Men det må anses for meget sandsynligt. Dels pga. omfanget, dels fordi CV'erne faktisk også indeholdt andre data, som kan bruges ved misbrug af identitet.
Eksempler på misbrug: Flere oplyste, at nogen havde købt varer i deres navn. Det kunne også være en mobiltelefon med tilhørende abonnement. Det var først ved Datatilsynets henvendelse, at de forbandt dette med offentliggørelsen af personnummeret. Nogle havde kontaktet politiet og forsøgt at få dem til at tage sagen som identitetstyveri.
Stof til eftertanke Som Datatilsyn har vi den primære opgave at administrere og føre tilsyn med persondataloven. Information til borgerne, om hvordan de beskytter deres egne data, falder faktisk uden for vores kerneområde. Der foregår heldigvis mange initiativer bl.a. i regi af IT- og Telestyrelsen med f.eks. deres NetsikkerNu-kampagne, hvor man fortsat kan sætte fokus på denne vinkel.
Selv om vi kun har et spinkelt datagrundlag, er det svært at komme uden om. Identitetstyveri eller -misbrug sker - og måske hyppigere end vi tror - også i Danmark.
Forsåvidt angår utilsigtet frigivelse af fortrolig information fra virksomhedsnetværk, så findes der faktisk tekniske løsninger, der kan blokere for det. Men de er ikke særligt udbredte - endnu.
Tilgangen er velment, men omtrent lige så virkningsfuld som at forsøge at at undgå nedsivning af giftstoffer til grundvandet efter de er helt ud i vandløbende.
Udfordringen med at sikre borgerne og samfundet i en struktur, hvor alene digitaliseringen udsætter alle for stadigt større trusler, er en af vor tids største udfordringer som kræver at man går til sagen på samme måde som med andre giftstoffer - go upstream og undgå forureningen i første omgang.
Et af hovedproblemerne er at det største datamisbrug kommer indefra - fra de parter som selv er med i systemet. Og misbruget programmeres ind, så det både er en strukturel del af hele modellem og umulig at undgå, hvor det gøres til selve adgangsbilletten til den digitale verden.
Lad os for et øjeblik lade det massive datamisbrug og de samfundsøkonomisk skadelige effekter i den offentlige sektor ligge.
Datatilsynets største problem er økonomisk svindel.
Når amerikanske misbrugsmaskiner som Google, Apple og Facebook får held til at bygge forretningsmodeller byggende på omfattende datatyveri og -hæleri, så er forureningen sket. Det fører til svindelfinansiering af stadigt flere områder startende med infrastrukturen, som derefter korrumperer den ene branche efter den anden i takt at giften siver ned i grundvandet og derfra trænger ud i hele samfundet.
Økonomisk svarer det til at tyvebander stjæler mærkevarer og sætter dem til salg langt under de legitime forretningers indkøbspris. Det ødelægger systematisk markedet.
Så længe datatilsynsmyndighederne og konkurrencemyndighederne tillader f.eks. Google Android at agere trojansk hest og datatyv, så vil datahæleriet tage til. Data kan ikke sikres, når magtinteresser i specielt den kommercielle infrastruktur (og det bureaukratiske offentlige sektor) får lov til at skabe stavnsbinding og uhindret kan profilere borgerne.
Datatilsynet taber dette spil, fordi de ikke går upstream til kilden, men uhindret lader giften indgå i produktionsprocessen og derfra trænge ud i vandløbene.
Den giftige forurening i en digital verden er Identifikation, fordi identifikation er kilden til identitetstyver og datamisbrug. Mere identifikation fører kun til mere kriminalitet og et samfund som fungerer stadigt dårligere.
Et problem her er at Datatilsynet ikke aner, hvad man kan og ikke kan, hvorved de knappe ressourcer spildes på symbolpolitik uden virkning, mens forureningen breder sig.
Knud Henrik Strømming skrev: Forsåvidt angår utilsigtet frigivelse af fortrolig information fra virksomhedsnetværk, så findes der faktisk tekniske løsninger, der kan blokere for det. Men de er ikke særligt udbredte - endnu.
Det løser ikke problemet - udfordringen er at sikre at kontrollen med data slet ikke overføres mellem juridiske personer, således at de tekniske systemer ikke antages at skulle beskytte noget som nærmest er umuligt at beskytte.
F.eks. kunden kan jo altid koble til en profil, hvis der er værdi i at genbruge data.
Den legitime virksomhed opnår sikkerhed, tillid og mulighed for at dele data med underleverandører uden at gå glip af noget, fordi den alligevel ikke ønsker at kunne misbruge data.
Det er kun den kriminelle virksomhed som mister en mulighed for kriminel misbrug. Og identitetstyven som mister muligheden for at kunne udgive sig for en borger/kunne stjæle og misbruge data uden for kontekst, f.eks. kreditkortsdata eller cpr-numre.
På en række områder har dansk lovgivning et højt niveau for databeskyttelse. Når der lægges op til yderligere harmonisering i EU opfordrer Datatilsynet til, at man fra dansk side arbejder for et retsgrundlag, der ikke tvinger beskyttelsen af personoplysninger i Danmark ned på et lavere niveau.
Stuxnet-ormen har lagt Mærsk og Siemens' fabrikssystemer ned, og den er blevet udråbt til en af de værste sikkerhedstrusler i 10 år. Her kan du få et indblik i, hvordan den virker.
Personers ret til privatliv og databeskyttelse er grundlæggende. Det fremgår nu også af It-politisk redegørelse, at beskyttelse af privatliv og personoplysninger bør være en integreret del af digitaliseringsprojekter. Men der er også brug for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Som eksempel omtales en konkret sag fra Datatilsynets hverdag
Lena Andersen er jurist og kontorchef i Datatilsynet. Hun beskæftiger sig med beskyttelse af personoplysninger og datasikkerhed på mange forskellige områder og sidder også med sikkerhedsbrister hos både offentlige myndigheder og private virksomheder.
Danskernes it-færdigheder bliver målt hvert eneste år. Her kan du lave en mini-test på, om du har bedre eller dårligere it-færdigheder end den gennemsnitlige dansker.
Log ind
Publiceret d. 11. januar 2010 kl. 14.20
| 
|
