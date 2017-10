Rigspolitiets center for it-kriminalitet sjusker med sikkerheden og bryder persondataloven. Sikkerheden hos databehandlere kontrolleres ikke, og data sendes til USA uden tilladelse.

Gottfrid Svartholm Warg blev i 2014 dømt for at have hacket de registre, som CSC drev for Rigspolitiet.

Lars Ole Dybdal blev sidste år ny CIO hos Rigspolitiet. Han overtager en lang historie med dårlige it-sager.

Man skulle tro, at Rigspolitiet havde lært vigtigheden af at kontrollere it-sikkerheden hos eksterne partnere.Den såkaldte ”CSC-sag”, der betød, at en svensk hacker i 2012 fik adgang til data fra blandt andet kørekortregistret, Schengen-registret og CPR-registret, udsprang netop af, at sikkerheden ikke var i orden hos den databehandler, som sagen er opkaldt efter – CSC.Men en ny afgørelse fra Datatilsynet viser, at Rigspolitiet stadigvæk ikke undersøger it-sikkerheden hos de fleste af de virksomheder og myndigheder, de sender personoplysninger videre til.”Datatilsynet kan sammenfattende konkludere, at Rigspolitiet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses,” skriver Datatilsynet og giver Rigspolitiet karakteren ”kritisabelt”Kort sagt: Rigspolitiet tjekker (stadigvæk) ikke, om it-sikkerheden er i orden hos de samarbejdspartnere, Rigspolitiet deler personoplysninger med.Rigspolitiets center for cyberkriminalitet, NC3, får desuden kritik af Datatilsynet for tilsyneladende at sende oplysninger ud af EU uden den nødvendige tilladelse.NC3 samarbejder med den dansk/amerikanske virksomhed Chainalysis, der lever af at analysere blockchain-transaktioner - virksomheden følger altså Bitcoin-pengespor.Og i den sammenhæng sender Rigspolitiet tilsyneladende oplysninger til USA uden den lovpligtige tilladelse fra Datatilsynet.Politiet må gerne sende data til virksomheder uden for EU, så længe aftalen er en standard EU-kontrakt, der sikrer, at sikkerheden er i orden.Men da Rigspolitiet har ændret i kontraktforholdene med Chainalysis, kræver det en tilladelse fra Datatilsynet at sende data til USA – og den tilladelse har Datatilsynet aldrig givet.”Idet Rigspolitiet ikke har indhentet Datatilsynets forudgående tilladelse til overførsel af personoplysninger til databehandleren i USA, skal Datatilsynet henstille til, at Rigspolitiet straks ophører med at overføre personoplysninger til databehandleren Chainalysis Inc.”, skriver Datatilsynet i sin afgørelse.Computerworld har siden tirsdag forsøgt at få en kommentar fra Rigspolitiet, der imidlertid ikke har ladet høre fra sig.