Systemplanlægger Lars Pehrsson ville oprette en børneopsparing i Morsø Bank, da han blev opmærksom på, at han var lige ved at sende både sit og barnets navne og cpr-oplysninger ud på nettet ukrypteret.
? Jeg ringede ind til banken, og gjorde dem opmærksom på problemet. Men de virkede fuldstændigt uforstående. Det endte med, at jeg faxede mine oplysninger til dem i stedet, siger han.
Det er anden gang på en uge, Computerworld kan fortælle om en dansk finansinstitution, der ikke behandler kundernes personlige oplysninger forsvarligt. I tirsdags var det Nykredit, der i sine beregningsprogrammer på internet brugte ukrypterede cpr-oplysninger. Til det sagde fungerende direktør i Datatilsynet, Lena Andersen:
? I sin yderste konsekvens kan det være i strid med kravet om, at man skal beskytte oplysninger med de tilstrækkelige sikkerhedsforanstaltninger. Vi har ikke så mange konkrete sager, der viser, at det er klokkeklart ulovligt, men det kunne det godt gå hen at vise sig i sin yderste konsekvens.
Kryptering måske på vej
Det faktum, at Nykredit advarer kunden om, at oplysningerne sendes ukrypteret, og at kundens navn ikke bliver sammenkædet med cpr-nummeret, så Lena Andersen som en formildende omstændighed, men ud fra de kriterier er der intet formildende over Morsø Bank. På formularen, hvor man opretter børneopsparingen, skal man både indtaste fuldt navn, adresse og cpr-nummer. Hvorefter man uden advarsel forventes at trykke på send og sende oplysningerne afsted ukrypterede. Til fri afbenyttelse for eventuelle ?lyttere? på systemet.
Den hjemmeside-ansvarlige hos Morsø Bank, Johannes Veje, kan godt forstå problemstillingen. Han siger da også, at det er lige på nippet til, at der sker noget ved det. Men direkte spurgt om hvornår, understreger han i første omgang, at han slet ikke kan udtale sig.
Senere har han fået snakket med sin chef og kan fortælle, at banken nu vil indføre en midlertidig løsning, hvor børneopsparings-formularen tages af hjemmesiden og erstattes med samme formular i pdf-format. Så kan kunderne printe, udfylde og faxe eller sende den ind i stedet.
Om overvejelserne bag hjemmesiden har web-ansvarlig Johannes Veje kun følgende at sige:
? Vi har ikke vurderet, at risikoen var stor ved den ukrypterede side, og det mener jeg personligt stadigt ikke. Men nu ændrer vi det, for at der ikke er nogen, der skal kunne komme og sige, at vi ikke gør vores arbejde godt.
I mellemtiden bliver systemplanlægger Lars Pehrsson nok hængende som kunde i banken en tid i endnu.
? Det er godt nok beklageligt, at de ikke følger Datatilsynets anbefalinger på hjemmesiden, men renten er ganske god, og så må man jo afveje tingene i forhold til hinanden, siger han.