Virksomheder sløser med persondatasikkerhed

Virksomhederne blæser på beskyttelse af personfølsomme oplysninger, når it-systemerne skal testes. I levende live er systemerne beskyttede med logfiler og adgangsniveauer, men når det drejer sig om test ligger personfølsomme oplysninger frit tilgængelige.

Det viser en ny undersøgelse, som Ponemon har udarbejdet for softwarefirmaet Compuware.

Bruger levende data

Problemerne opstår, fordi langt de fleste testmiljøer arbejder på live data, der blot er kopieret over i testmiljøet. Det vil sige, at de stadig indeholder personfølsomme oplysninger som helbredsoplysninger eller straffeattester eller indeholder bank- og kreditkortoplysninger.

Ifølge undersøgelsen bruger 64 procent af virksomhederne eller lige ved to ud af tre levende data i forbindelse med test af applikationer.

Halvdelen af dem, der bruger levende data, har ingen sikkerhedsprocedurer omkring anvendelsen af disse data.

Outsourcing skærper problemet

Ydermere peger rapporten på, at testmiljøerne slet ikke er omfattet af samme sikkerhedsafskærmning som eksempelvis produktionsmiljøerne. Det betyder blandt andet, at medarbejdere, der slet ikke er autoriserede til adgang til personfølsomme oplysninger, pludseligt har fri adgang til disse. Det samme gør sig gældende, når virksomhederne outsourcer udviklingen. Her følger levende testdata også med applikationen ud af landet.

»Jeg kan bekræfte undersøgelsens resultater. Der er tale om et stort problem, og ofte skyldes det uvidenhed omkring de data, man anvender til test,« siger seniorkonsulent i rådgivningsfirmaet Devoteam Consulting Carsten Jørgensen til Version2.

Han genkender også scenariet, hvor data eksporteres i forbindelse med en outsourcing, og peger desuden på, at det ikke altid kun er uvidenhed, når levende data bruges i forbindelse med test.

»Der kan være en opfattelse af, at det er dyrt eller besværligt, hvis data skal renses op eller anonymiseres, men der findes værktøjer på markedet, og alt efter opgavens art, vil det selvfølgelig være mere eller mindre dyrt og besværligt, men der er desværre nogen, der er villige til at løbe en risiko og bruge levende data,« siger Carsten Jørgensen.

I Datatilsynet har man kun behandlet få sager om testdata, og ifølge kontorchef Lena Andersen har der ikke på det seneste været sager om forkert opbevaring af testdata.

»Men det sker løbende, at vi får henvendelser fra virksomheder, der skal gennemføre test, hvor de spørger, hvordan de skal forholde sig,« siger hun.

Datatilsynet har dog ikke udarbejdet specielle retningslinjer for, hvordan testdata skal håndteres.

»Hvis der er tale om personoplysninger, så gælder loven. Det betyder både, sikkerhedskrav skal overholdes, og hvis vi taler om tredjelandsoverførsel, så gælder der også regler for det, der blandt andet betyder, at man skal have tilladelse fra os,« siger kontorchef i Datatilsynet Lena Andersen.

Undersøgelsen er baseret på spørgeskemaer fra 897 it-professionelle, der ifølge Ponemon har 10 års it-erfaring i gennemsnit.