Datatilsynet advarede Digital Tinglysning mod lemfældig cpr-håndtering
Den Digitale Tinglysning var advaret om, at en løsning, hvor cpr-numre skal sendes ukrypteret over email, ikke nødvendigvis er en god måde at beskytte følsomme oplysninger på.
Det oplyser kontorchef Lena Andersen fra Datatilsynet, efter at Version2 har beskrevet, hvordan advokatfirmaer bliver bedt om at sende medarbejderes cpr-numre ukrypteret over email.
Datatilsynet har i et høringssvar til den nye tingslysningsbekendtgørelse understreget over for Tinglysningsretten, at personnumre er oplysninger, der nyder høj beskyttelse.
»Datatilsynet skal derfor opfordre til, at alle, der medvirker til implementering eller administration af tinglysningsreglerne, er opmærksomme på behovet for at beskytte personnumre, således at disse alene anvendes og videregives i det omfang, det er nødvendigt for opfyldelsen af tinglysningslovgivningen. Datatilsynet anmoder Justitsministeriet om at medvirke til at få dette beskyttelseshensyn varetaget i det videre arbejde,« skriver Datatilsynet således i sit høringssvar.
Kontorchef Lena Andersen fremhæver dog over for Version2, at det er Domstolsstyrelsen og ikke Datatilsynet, der har det formelle tilsyn med Tinglysningsretten, og at Datatilsynets bemærkninger derfor kun er generelle betragtninger om datasikkerhed.
Det afholder dog ikke Datatilsynet fra også at løfte pegefingeren i forhold til Tinglysningsrettens brug af email som kommunikationsform:
»I flere bestemmelser (§ 45, stk. 2 og § 48, stk. 3) er der lagt op til, at der kan sendes oplysninger pr. e-post. Datatilsynet går ud fra, at det er op til Domstolsstyrelsen at vurdere, hvilke sikkerhedsmæssige krav persondataloven måtte indebære i den forbindelse,« skriver Datatilsynet i høringssvaret.
»Men nu vil vi læse artiklen grundigt igennem og derefter se på, om vi skal foretage os noget i den anledning,« siger Lena Andersen. Hun forholder sig ikke til, hvorvidt det er hensigtsmæssigt, at det er Tinglysningsrettens egen styrelse, Domstolsstyrelsen, der har der formelle tilsyn med datasikkerheden.
Kommentarer (4)
Ja, man sender cpr-numre og hvad så? I forhold til Persondatalvoen siger det blot at en given person er ansat i en funktion hvor de bruger Tinglysning.
Men det glemmer de store fejl i Tinglysning - f.eks. at borgeren ikke har kontrol med og skal signere pant i huset samt at vi ikke har en lovlig digital signatur at bygge dette på.
Problemstillingen med cpr-numre her skaber en lille sikkerhedsmæssig risiko for at en angriber kan spoofe en falsk medarbejder-autorisation ind i systemet. Men det er jo vand i forhold til at f.eks. Nemid stjæler alle brugeres identitet. Det er langt mere effektivt at begå angreb i en eksisterende brugers navn, så man samtidig får en syndebuk.
Ingen tvivl om at digitalisering af området er en god ting. Men uden at ville gøre mig til ekspert i Tinglysning, så er der meget som tyder på at man igen har være for forhippet på at digitalisere efter systeminteresserne men glemt samfundsinteresserne og de basale hensyn til principper.
-
0 -
0
Selve koblingen mellem et navn og et CPR-nummer er en personfølsom oplysning der kan misbruges.
Derfor er det ikke op til hverken dig eller mig at sidde og latterliggøre det som hysteri.
Personnummeret har tidligere været en ret beskyttet oplysning, der kunne bruges til at sikre at man virkelig var i kontakt med den rette person. Det er næsten ikke længere tilfældet. Vi bruger personnumre i alt for mange sammenhænge, og sikkerheden er for længst gået fløjten.
-
0
-
0
Gunnar
Helt enig.
Pointen er blot at her er at det et tilfælde af ikke at kunne se skoven for bare træer.
Men vi har meget værre eksempler end Tinglysning. Hele nem-strukturen er fyldt med ren magtmisbrug.
-
0
-
0
Jeg oplevede min fagforening sendte giro-opkrævninger hvor mit cpr-nr. var en del af gironummeret.
Husker ikke om det blev sendt i kuvert, men mener at det ikke var tilfældet.
Jeg tror efterhånden ikke der er nogen væsentlig beskyttelse omkring CPR-nr. al den stund, at man kommer ud for at skulle oplyse det i mange unødvendige tilfælde og at mange ikke tænker særligt over at gøre det.
-
0
-
0
