ANNONCE:
Det startede med en henvendelse fra en journalist. I Datatilsynet får vi ofte tips om sikkerhedsbrister. Samtidig modtager vi som regel også oplysninger om, hvordan fejlen kan ses - herunder f.eks. links til de adresser på nettet, hvor oplysninger er gjort tilgængelige.
Tit må både vi og de berørte dataansvarlige i gang med brandslukning. Personnumre og andre fortrolige personoplysninger ligger på nettet, og journalisten er på vej med sin historie. Jeg appellerer gerne til, at man ikke bringer historien, før oplysningerne er væk fra nettet. For offentliggørelsen vil jo gøre skaden værre. Mange flere vil blive opmærksomme på fejlen og dermed på oplysningerne.
Typisk vil vi i Datatilsynet straks tage kontakt til de dataansvarlige og bede dem gøre noget ved problemet. Vi giver de råd, som vi også har på vores hjemmeside om
Utilsigtet offentliggørelse på internettet. De oplysninger om fejlen, som vi har fået eller selv fundet frem, giver vi til den dataansvarlige.
CV'er på internetI forbindelse med sådan en henvendelse fra en journalist fik vi oplysninger om en lang række hjemmesider, hvor han havde fundet personnumre offentliggjort. Og vi tog straks affære. Det var en større omgang, så en håndfuld medarbejdere var i sving med at ringe rundt og få sat myndigheder og virksomheder i gang med at få oplysningerne fjernet.
Samtidig sendte journalisten os en række yderligere adresser, hvor han havde fundet CV'er med personnumre, men hvor det ikke lignede sikkerhedsbrister. Det så ud til, at det var personerne selv, der havde offentliggjort oplysningerne.
Persondataloven blander sig ikke i, hvad borgerne gør med deres egne oplysninger. Så det var egentlig ikke en sag for Datatilsynet.
Vi valgte alligevel at prøve at komme i kontakt med de 42 berørte personer for at gøre dem opmærksomme på, at oplysningerne kunne findes på nettet.
Vi fortalte også om risikoen for identitetstyveri, som øges, når man offentliggør sit personnummer sammen med navn, adresse og lignende.
Nogle af personerne fik vi fat i via telefon, og ellers sendte vi besked på email.
Vi snakkede med 31 personer. De fleste kunne godt huske, at de havde lagt deres CV på internettet. Men de havde ikke tænkt på, eller de havde glemt, at det indeholdt personnummer. Enkelte var ikke klar over, at det kunne være et problem.
Af de 31 personer sagde 7, at de var blevet udsat for identitetstyveri. Vi kan jo ikke vide, om det offentliggjorte personnummer var årsagen til det, de havde oplevet. Men det må anses for meget sandsynligt. Dels pga. omfanget, dels fordi CV'erne faktisk også indeholdt andre data, som kan bruges ved misbrug af identitet.
Eksempler på misbrug: Flere oplyste, at nogen havde købt varer i deres navn. Det kunne også være en mobiltelefon med tilhørende abonnement. Det var først ved Datatilsynets henvendelse, at de forbandt dette med offentliggørelsen af personnummeret. Nogle havde kontaktet politiet og forsøgt at få dem til at tage sagen som identitetstyveri.
Stof til eftertankeSom Datatilsyn har vi den primære opgave at administrere og føre tilsyn med persondataloven. Information til borgerne, om hvordan de beskytter deres egne data, falder faktisk uden for vores kerneområde. Der foregår heldigvis mange initiativer bl.a. i regi af IT- og Telestyrelsen med f.eks. deres NetsikkerNu-kampagne, hvor man fortsat kan sætte fokus på denne vinkel.
Selv om vi kun har et spinkelt datagrundlag, er det svært at komme uden om. Identitetstyveri eller -misbrug sker - og måske hyppigere end vi tror - også i Danmark.
Log ind
Publiceret d. 11. januar 2010 kl. 14.20
| 
