Sådan fungerer den danske gabestok for datablottere

Datatilsynet hænger datablotteri til tørre på deres hjemmeside - men har også krav om at underrette ofre direkte.

Artikel top billede

Danske firmaer og myndigheder, der ved en fejl er kommet til at blotte deres brugeres data, skal automatisk oplyse ofrene om lækket.

Sådan lyder kravet ifølge flere politikere over for Version2.dk.

Kravet er dog ikke fremmed i Danmark, kan ComON berette. Datatilsynet stiller allerede samme krav om, at ofre skal underrettes. Målet er dog ikke at stille datablotteren i gabestok, som politikerne efterspørger, men derimod at sikre, at skaden bliver begrænset - eksempelvis så brugerne kan tage forholdsregler.

Anderledes er det på Datatilsynets hjemmeside. Her er Datatilsynets mål enten at oplyse om Datatilsynets praksis - som andre dataansvarlige derefter kan rette sig efter - og så kan målet være at hænge den dataansvarlige til tørre.

"Det koster, når man har en alvorlig sikkerhedsbrist. Selv om man ikke får en bøde, så får man en omtale på vores hjemmeside. Der har vi en lang tradition for at omtale de grovere sager," forklarer kontorchef Lena Andersen fra Datatilsynet.

 

Irma fik krav fra Datatilsynet

Kravet, om at dataansvarlige skal direkte skal oplyse ofre for en sikkerhedsbrist om lækagen, kom senest i brug i forbindelse med sagen om Irmatorvet.dk, der blottede deres kunders data. Det viser en aktindsigt, som ComON har fået i sagen. Her skrev Irma for nyligt rundt til 30.000 kunder og oplyste om, at deres password ved en fejl var lagt ud på et test-site. Det var efter "krav" fra Datatilsynet, viser aktindsigten, at de sendte emails ud. I en email til Datatilsynet noterede it-sikkerhedschef fra Irma-ejeren Coop, Bo Lund Rosenlund, at Datatilsynet efter en telefonsamtale havde to overordnede krav. Det ene var at sikre data igen, det andet krav lød på at underrette kunderne.

Kravet om at underrette kunderne står ikke eksplicit i Persondataloven, oplyser Lena Andersen. Det er en fortolkning af paragraf 5, stk. 1, som Datatilsynet har haft i en længere årrække. I et notat til Folketinget fra februar 2008 skrev Datatilsynet, at de havde haft denne praksis i hvert fald siden 2003.

"Det er ret og rimeligt for borgerne. Det hører med til ansvarlig håndtering af data at rette for sig og gøre, hvad man kan for at begrænse skaden," siger Lena Andersen om Datatilsynes fortolkning om, at dataansvarlige skal underrette ofrene.

 

Tilsyn håndterer sager forskelligt

Datatilsynets tilgang kan være forskellig fra sag til sag. Når en kunde som Irmatorvet.dk ved en fejl offentliggør passwords, kan det eksempelvis være relevant for brugerne at skifte passwords. En del bruger samme password til en række forskellige tjenester. Derfor kan et lækket password til en mere eller mindre ligegyldig tjeneste ofte også bruges i andre og måske mere sårbare sammenhænge. Det sås eksempelvis i Gawker-lækagen, hvor lækkede passwords til mediesites efterfølgende blev brugt til at hijacke Twitterkonti, som så blev brugt til at udsende spam.

I nogle tilfælde vurderer Datatilsynet, at det er unødvendigt at underrette borgerne. Som eksempel siger Lena Andersen, at Datatilsynet i en bestemt sag havde to læk. I det ene læk var der klare, personhenførbare, følsomme informationer - og så krævede Datatilsynet, at den dataansvarlige oplyste borgerne om bristen. I det andet læk i sagen var informationerne ikke lige så omfattende og ikke personhenførbare for alle og enhver. Her vurderede Datatilsynet, at det ikke var nødvendigt at underrette ofrene med et brev til den enkelte - men at det var nok at oplyse om sikkerhedsbristen på en hjemmeside og via medierne.

"Borgerne skal have sikkerhedsnotifikationer, når der er grund til det. Hvis de modtager alt for mange sikkerhedsnotifikationer om små sager, er der risiko for, at de bliver immune over for dem," siger Lena Andersen.

Det er ikke et lovkrav, at myndigheder og virksomheder skal kontakte Datatilsynet ved sikkerhedsbrister, men Datatilsynet anbefaler at søge rådgivning ved alvorlige sager, hvor meget følsomme informationer eller store mængder data er omfattet af en sikkerhedsbrist. Hvis en dataansvarlig ignorerer en brist og eksempelvis ikke oplyser de berørte, så kan det spille ind i Datatilsynets overvejelser, hvis hændelsen senere kommer til deres viden. I sidste ende kan en sikkkerhedsbrist medrøre straf, eksempelvis bøde, hvis omstændighederne er særligt grove - eksempelvis hvis en virksomhed begår fejl med vilje eller gentagne gange.

"Hvis man bevidst undlader at tage hånd om en alvorlig sikkerhedsbrist, så kunne det i yderste konsekvens få indflydelse på vores samlede vurdering af sagen. Der er jo strafbestemmelser for, at man skal have sikkerhed omkring ens data. Som regel uddeler vi dog ikke bøder, fordi virksomheder og myndigheder oftest kontakter os og erklærer, at der var tale en fejl," siger Lena Andersen.

Selv om det ikke er klart defineret i loven, så tolker Datatilsynet Persondataloven sådan, at en dataansvarlig skal underrette de berørte brugere - uanset om Datatilsynet siger det eller ej.

 

Krav om underretning har aldrig været prøvet ved domstol

Eftersom kravet om underretning af ofrene ikke er klart defineret i persondataloven, vil en dataansvarlig kunne afvise kravet. Herefter ville det i sidste instans være op til domstolene at afgøre, om det vitterligt - som Datatilsynet tolker persondataloven - er i overensstemmelse med god databehandlingsskik at oplyse borgerne i tilfælde af sikkerhedsbrister for at begrænse skaden. Endnu har ingen dataansvarlige haft lyst til at hive en afgørelse fra Datatilsynet om underretningskravet i retten, siger Lena Andersen.

"Det er aldrig kommet så vidt, at vi har måttet skride til politianmeldelse," oplyser kontorchefen.
Lena Andersen oplyser desuden, at Datatilsynet i forhold til Irmatorvet har stillet krav om, at beskederne til de berørte borgere ikke må ligne reklamer.

Forsvarets Efterretningstjeneste

IT-direktør til Forsvarets Efterretningstjeneste

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

MLOps Engineer til opbygning af Forsvarets nye AI-platform

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger leder til Lokal IT Servicecenter i Holstebro

Midtjylland

Annonceindlæg fra Thales

AI gør de ondsindede bots både billigere og sværere at stoppe

Kunstig intelligens har ikke bare givet virksomheder nye muligheder.

Navnenyt fra it-Danmark

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job