Artikel top billede

Så ofte har Datatilsynet tjekket hacket politisystem

Det hackede politisystem hos CSC er gentagne gange blevet inspiceret af Datatilsynet.

Schengen-informationssystemet (SIS), der blandt andet indeholder oplysninger om politieftersøgte personer, blev hacket i 2012.

Det oplyste Rigspolitiet, PET og FE for nylig i en opsigtsvækkende hacker-sag, hvor det er blevet kaldt "helt uacceptabelt," at uvedkommende kunne trænge ind i politisystemet hos it-leverandøren CSC.

Men faktisk er systemets sikkerhed blevet kontrolleret, for det har tilsynet pligt til. Således har Datatilsynet lavet inspektioner af systemet flere gange. 

"Datatilsynet har foretaget inspektion af SIS i 2000, 2001, 2003, 2009 og 2011," fremgår det på Datatilsynets hjemmeside.

De pågældende inspektionee omfatter blandt andet "gennemgang af procedurer, såvel organisatoriske som tekniske forhold og stikprøvekontroller af skete registreringer." 

Hos Datatilsynet bekræfter kontorchef Lena Andersen, at tilsynet har foretaget de pågældende inspektioner.

Resultater sendes til Rigspolitiet

Den seneste foregik altså i 2011.

Lena Andersen kan ikke på stående fod oplyse, hvorvidt den pågældende kontrol - som den indimellem gør - omfattede et tjek vedrørende sikkerhed.

Hun oplyser endvidere, at resultaterne af inspektionerne typisk sendes til Rigspolitiet.

Ét år var den hel gal med indtastningerne i systemet, hvilket også affødte nogen skriverier i pressen.

Det kan du læse mere om her.

Besøgte Rigspolitiets lokaliteter

I årsberetningen for Datatilsynet i 2011 fremgår det videre, at en evaluering er blevet foretaget.

"Danmark er i 2011 blevet evalueret bl.a. på databeskyttelsesområdet i forhold til de krav, som Schengenreglerne opstiller."

"Evalueringen blev varetaget af databeskyttelseseksperter fra en række af EU's medlemsstater," fremgår det af årsberetningen.

"Evalueringen fandt sted i oktober 2011, men selve processen startede allerede i sommeren 2010 med besvarelse af et spørgeskema," oplyses det.

"Datatilsynet stod for afholdelsen af evalueringen, hvor Udenrigsministeriet, Udlændingeservice, Rigspolitiet samt CSC Danmark A/S som databehandler for Rigspolitiet også var involveret," hedder det videre i beretningen.

Efter evalueringen skal Datatilsynet følge op på de anbefalinger/bemærkninger, som evalueringsholdet er kommet med.

Lena Andersen fra Datatilsynet oplyser, at den pågældende evaluering, faktisk også var en evaluering af tilsynet - altså en slags kontrol af kontrollen.

Besøgte Rigspolitiets lokaliteter

I øvrigt afslører årsberetningen også, at inspektionen i 2011 indebar en besøg hos Rigspolitiet.

"Datatilsynet har i 2011 gennemført en inspektion hos Rigspolitiet i forhold til myndighedens rolle efter Schengenreglerne."

"Ved inspektionen gennemgik tilsynet bl.a. Rigspolitiets procedurer for håndteringen af specifikke indberetningstyper," lyder det om inspektionen af selve indberetningerne.

"Derudover foretog Datatilsynet en fysisk besigtigelse af de faciliteter, som Rigspolitiets særlige afdeling, der bl.a. indberetter til Schengen-informationssystemet (SIS), har til rådighed," hedder det i årsberetningen.

Du kan læse hele årsberetningen her.

CSC fik også besøg

Går man nogle år tilbage, kan man konstatere, at også CSC har haft besøg af Datatilsynet.

For ved indførslen af det internationale politisystem med de mange følsomme persondata gjorde man angiveligt meget ud af at sikre forholdene.

Faktisk fik de alle de nordiske lande besøg, fremgår det af materiale fra Datatilsynets hjemmeside.

"Der blev desuden gennemført evalueringsbesøg i de nordiske lande blandt andet inden for området databeskyttelse."

Virksomheden CSC Danmark A/S

"De deltagende repræsentanter for Schengen-landene afholdt under besøget blandt andet et møde med Registertilsynet, ligesom de fik mulighed for at besigtige lokaliteterne for blandt andet Sirene-kontoret og virksomheden CSC Danmark A/S, der skal drive den danske del af Schengen-informationssystemet."

"Den 1. december 2000 har Rådet truffet afgørelse om anvendelse af Schengen-reglerne for de nordiske lande fra den 25. marts 2001. Dog anvendes reglerne om Schengen-informationssystemet (SIS) fra den 1. januar 2001," hedder det i dokumenterne.

Det fremgår ikke umiddelbart af dokumenterne, hvorvidt Datatilsynet siden har været på inspektion eller lignende hos CSC i forbindelse med SIS-systemet.

Men Lena Andersen oplyser, at der har været "kontakt/møder med CSC jævnligt."

Datatilsynet er nu gået ind i sagen og har krævet en redegørelse af Rigspolitiet.

En redegørelse der i sidste ene kan munde i ud, hvad du kan forvente at blive oplyst om.

Databrist: Her er dine krav

Lena Andersen fra Datatilsynet oplyser til Computerworld, at tilsynet har krævet en redegørelse fra Rigspolitiet.

Og direkte adspurgt, hvorvidt de personer oplistet i SIS-systemet har krav på at vide, hvorvidt deres oplysninger er blevet blottet, er svaret uklart.

"Det er alt for tidligt at sige endnu," fortæller Lena Andersen.

Blandt andet lyder et af de spørgsmål, Rigspolitiet skal svare på, hvorvidt man har orienteret visse personer om databrist.

Måske orienteret via medierne

For ifølge dansk lovgivningen er det ikke soleklart, hvad man har krav på.

Lena Andersen peger på, at det er den dataansvarliges opgave at vurdere karakteren af et datalæk.

Herunder om eksempelvis en orientering allerede er foretaget via den massive mediedækning af sagen. 

Datatilsynet afventer nu Rigspolitiets svar og vil vurdere dette i forhold til de fremadrettet skridt.

CSC har ingen kommentarer til artiklen.

"Vi har ikke nogen kommentarer på dette tidspunkt af sagen," lydet det fra kommunikationsrådgiver Carsten Andersen fra Rigspolitiet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
GDPR: De bedste værktøjer til forankring og automatisering

GDPR er forlængst blevet en del af hverdagen i alle organisationer, og vi kan ikke komme uden om, at det koster dyrt at negligere vigtigheden af det. Det kan være en stor mundfuld at skulle holde styr på regler, håndtering og vedligeholdelse. Derfor sætter vi fokus på forankring og automatisering på denne konference.

02. december 2021 | Læs mere


Digital kundeservice: Kom godt i gang med chatbots

Der er store gevinster at hente med chatbots, som kan håndtere en stor del af kommunikationen med brugere - både de eksterne som kunder og de interne som medarbejdere.Og lige rundt om hjørnet venter næste generation, nemlig de stemme-baserede chatbots, som står på skuldrene af de stemmestyrede home-devices som Amazons Alexa og Google Home.

07. december 2021 | Læs mere


Can AI bring value to your business?

You will learn how AI has been successfully used to enhance an existing business where artificial intelligence is deployed to work complementary to natural intelligence in a complex data process. And you will be presented with a business case where AI provides the possibilities of creating a completely new business platform, that would not otherwise have been possible.

08. december 2021 | Læs mere