Artikel top billede

IT-Branchen rystet over Datatilsynets ageren i sag om databrud hos politianmeldt terapi-platform: ”Når man ser en ulykke, så er førsteprioriteten at standse ulykken”

Datatilsynet får stor kritik fra IT-Branchen, der er helt uforstående over for myndighedens prioritering i sagen om den terapi-portal GoMentor, der er den første virksomhed, som er blevet politianmeldt i Danmark efter de nye GDPR-regler.

Terapi-portalen GoMentor havde et sikkerhedshul, der gav andre brugere mulighed for at få adgang til private persondata om andre brugere.

Datatilsynet kendte til sikkerhedshullet i knap tre måneder uden at fortælle virksomheden om problemet, mens de sammen med politiet samlede beviser i sagen.

Læs mere om sagen her: Datatilsynet kendte til sikkerhedshul hos terapi-portal i tre måneder - men fortalte det ikke til virksomheden

Hos IT-Branchen er man rystet over Datatilsynets prioritering i sagen.

Her så man gerne at virksomheden var blevet inddraget med det samme.

”Når man ser en ulykke, så er førsteprioriteten at standse ulykken,” siger administrerende direktør for IT-Branchen, Birgitte Hass.

Hun mener, at der kunne være grund til at samle beviser, før man kontaktede virksomheden, hvis der var tale om gentagende svindel og misbrug af data, men det er ikke tilfældet her.

”Der er ikke tale om omfattende datakriminalitet, der er tale om en fejl. Jeg mener ikke, at der er noget, der kan retfærdiggøre, at man lader det her ligge i tre måneder,” lyder det fra Birgitte Hass.

Læs også: Datatilsynet håndterer gamle klager efter nye GDPR-regler

I stedet burde Datatilsynet fokusere mere på at hjælpe virksomhederne med at sikre brugerne data frem for at stå klar med bødeblokken.

”Desuden mener jeg, at Datatilsynet i højere grad bør fokusere på deres rådgivningsspligt.”

Ellers ville en sikkerhedssag aldrig få konsekvenser

Datatilsynet anerkender, at det ikke optimalt, at der går flere måneder, før en virksomhed bliver kontaktet, men tilsynchef Jesper Husmer Vang mener nu alligevel at prioriteringen var rigtig.

Hvorfor er virksomheden ikke blevet kontaktet med det samme så de kunne lukke hullet?

“Hvis vi gør det, så er der ingen grund til at efterforske den videre, for så kan de bare lukke hullet og så kan vi ikke dokumentere, at der har været et brud. Så ville en sikkerhedssag jo aldrig få nogle konsekvenser, hvis vi bare ringer til virksomheden og beder dem lukke sikkerhedshullet,” forklarer han.

Læs også: Datatilsynet politianmelder danmarks største terapi-portal for GDPR-brud: Data om sex og stofmisbrug flyder

Det er dog ikke et argument, som man giver meget for hos brancheforeningen for it-virksomhederne.

Er det ikke fornuftigt nok, at Datatilsynet først sikrer beviserne så tilsynet ved, om der er en sag, inden at det kontakter virksomheden, og hullet bliver lukket?

”Jeg mener, at rådgivningspligten og hensynet til data bør vægte langt højere end entydigt fokus på at sikre beviser. Det er forkert at lade ulykken køre for at forberede en bedre retssag,” siger Birgitte Hass.

“Hvis vi havde fortalt virksomheden om det, så havde der ikke været nogen sag”

Bør fokus ikke være på at få lukket hullet?

”Oplysningerne har jo ikke ligget offentligt tilgængeligt på den måde. Det har krævet, at du vidste, at der var det her problem. Vi vil selvfølgelig gerne have haft, at det gik hurtigere, og det gør det også i de fleste sager,” lyder det fra Jesper Husmer Vang.

Desuden understreger han, at der er behov for at rejse nogle sager særligt her i begyndelsen.

”Hvis vi havde fortalt virksomheden om det, så havde der ikke været nogen sag. Men vi havde en fornemmelse af, at det her var et ret stort sikkerhedsbrud, så det havde vi også en interesse i at køre en sag på. Det er der også noget læring i. Men for den enkelte har det da ikke været rart, at deres oplysninger har været tilgængelige.”

Først politianmeldelse efter nye GDPR-regler

Hos Datatilsynet erkender man, at sagen med GoMentor har taget for lang tid. Det skyldes ifølge Jesper Husmer Vang, at det var nødvendigt at inddrage politiet i efterforskningen.

”Det er usædvanligt, at det har taget så lang tid. Normalt kan vi selv lave bevissikring, og så ville vi gøre det samme dag eller dagen før, vi kontakter virksomheden og oplyser dem om sikkerhedsbruddet,” forklarer han.

Læs også: Politianmeldt terapi-portal kan se frem til rekordbøde for GDPR-brud: ”Den her sag lyder til at være noget grovere end sagerne fra både Tyskland og Portugal"

Håbet er, at den lange behandlingstid også skyldes, at denne sag var den første, der blev anmeldt til politiet efter de nye GDPR-regler trådte i kraft 25. maj i år.

”Det er den første sag, hvor vi har skullet have hjælp fra politiet, så man kan jo håbe på, at det er nogle begyndervanskeligheder, der gør, at det har taget så lang tid.”