Leder: Datatilsynet glemte sin vigtigste opgave – at stoppe lækager
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
By signing up, you agree to our Terms & Conditions and agree that Teknologiens Mediehus and the IDA Group may occasionally contact you regarding events, analyzes, news, offers, etc. by telephone, SMS and email. Newsletters and emails from Teknologiens Mediehus may contain marketing from marketing partners.

Leder: Datatilsynet glemte sin vigtigste opgave – at stoppe lækager

Datatilsynet har ved flere lejligheder været under kritik, blandt andet for, at det ikke evnede at føre et tilstrækkeligt effektivt tilsyn. Det er en kendt sag, at Datatilsynet har alt for få ressourcer i forhold til den omsiggribende digitalisering, der er ved at ændre vores samfund og uundgåeligt vil føre flere alvorlige databrud med sig. Men desværre er der også tegn på, at tilsynet ikke forstår selv at prioritere de vigtigste opgaver.

I slutningen af august anmeldte en bruger Nordens største portal for samtaleterapi, GoMentor, til Datatilsynet, fordi hun kunne få adgang til fire andre klienters fortrolige kommunikation indeholdende yderst følsomme persondata. Stik imod al sund fornuft fik anmeldelsen om læk af de meget følsomme data dog ikke Datatilsynet til at rykke ud prompte. I stedet påbegyndte tilsynet en langvarig sagsbehandling, og først i slutningen af november – altså tre måneder senere – blev GoMentor kontaktet om sikkerhedsbristen i deres system. En brist, som betød, at brugere uautoriseret kunne få adgang til andre brugeres oplysninger. Det var imidlertid ikke Datatilsynet, men en DR-journalist, der kontaktede det måbende og uvidende GoMentor om datalækket, hvorefter programmeringsfejlen i et brugerkonto-modul kunne lukkes.

Datatilsynet har til Ingeniørens søster­medie Version2 forklaret, at man ville efterprøve og dokumentere datalækket, inden man gik til GoMentor. Havde den berørte bruger kontaktet redaktionen på Version2, ville vi som journalister være gået til GoMentor med det samme og herefter have givet virksomheden højst to uger til at lukke hullet, inden vi ville omtale det meget alvorlige databrud. Blandt andet for at advare andre brugere af GoMentor. Vi har aldrig oplevet andet, end at pressebevågenhed har ført til, at den ansvarlige for et datalæk straks har fået lukket hullet – typisk inden for ét til tre døgn. Med andre ord ville de ramte brugere altså have været bedre stillet ved at gå til pressen end at gå til den instans, der ifølge første linje i sin vision har til opgave at sikre, at reglerne for behandling af personoplysninger overholdes.

Desværre vidner sagsforløbet om en manglende indsigt hos Datatilsynet i, hvorfor rigtig mange databrud opstår. De skyldes kodefejl i softwaresystemer, som åbner for adgang til data ad utilsigtede veje, hvorved uvedkommende kan snage i eller misbruge andre brugeres persondata. Alternativt sker databrud, fordi ansatte begår menneskelige fejl eller pga. ringe basal it-sikkerhed, f.eks. ved at kravene til kodeord er for dårlige, eller en ansat sender persondata til den forkerte modtager i et e-mailsystem eller på en USB-stick.

I ingen af tilfældene er der faglige argumenter for ikke at skride til handling hurtigt og få rettet fejlen. Der er i hvert fald ikke nogen gyldig grund til at vente måneder. Inden for et døgn kan en vaks medarbejder ved screendumps og optagelse af workflows dokumentere, at et system lækker data uhensigtsmæssigt – det har Version2 gjort mange gange.

Datatilsynets argument for at forsinke interventionen er, at man vurderede, at der var flere fejl i GoMentors system, end det anmeldte, og at man ville finde og dokumentere disse for at sikre et stærkere bevismateriale. Det er således åbenlyst, at Datatilsynet er meget ivrigt for at ruste sig grundigt til at føre en persondatasag ved domstolene – selv et af landets førende advokatfirmaer, Kromann­-Reumert, har bemærket denne mission. Tilsynet er »meget opsat på at få ført de første sager ved domstolene«, lyder det fra Kromann­-Reumert – fordi sagerne vil blive anvendt til at fastlægge strafniveauet for lignende sager. Det er prisværdigt, at tilsynet gør sit ypperste for at få sjusk og ligegyldighed over for beskyttelse af dybt følsomme data straffet hårdt. Men ud over at dokumentation som nævnt hurtigt kan fremskaffes, har tilsynet overset, at vidner til datalækket, også dem fra GoMentor, udtaler sig under vidneansvar i retten.

At man lader stå til i forhold til, at uskyldige borgere får eksponeret følsomme persondata i månedsvis med det argument, at man vil finde flere softwarefejl, råber til himlen. Der kan altid findes kodefejl i software, så hvis Datatilsynet har som mission at afdække fejl i softwaresystemer, inden de blotlægger (flere) persondata, kan vi for alvor begynde at tale om ressourcemangel.

Sagen viser, at Datatilsynet helt og aldeles misforstår sin fremmeste rolle. I den nye databeskyttelsesforordning (GDPR) er det højest prioriterede formål »at beskytte alle EU-borgere mod krænkelser af privatlivets fred og brud på datasikkerheden«. Respekten for privatlivets fred og beskyttelsen af personoplysninger fremgår også af Den Europæiske Unions charter om grundlæggende rettigheder (artikel 7 og 8).

Det må aldrig blive sådan, at myndigheder vægter det højere at ruste sig til en retssag end at beskytte uskyldige borgere mod, at dybt private forhold kommer til uvedkommendes kendskab. Det ville svare til, at fødevaremyndighederne ikke slog alarm og lukkede en butik med det samme, hvis de fik tip om et sted, hvor teknikken er i udu, og varerne rådner i kølemontrerne – fordi man først skulle indhøste bevismateriale og undersøge, om der var flere problemer i butikken. Det er oplagt, at en sådan prioritering ville være helt forkert. /hm


Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.

Emner : It-sikkerhed
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Datatilsynet har det heller ikke nemt, når alverdens nye regler bliver smidt ned over hovedet på dem - og som de skal fører tilsyn med. Regler som DK ikke har den store indflydelse på, men derimod nogen som EU har udstukket.

  • 0
  • 1