25 kommuner lader borgere tippe om socialt bedrageri uden kryptering

18. oktober 2010 kl. 09:436
Når en borger anmelder sin nabo til kommunen for socialt bedrageri, så sker det uden, at de potentielt personfølsomme data bliver krypteret. Det er klart ulovligt, mener lektor i persondataret.
Artiklen er ældre end 30 dage

32 danske kommuner stiller en tjeneste til rådighed for borgere, som anonymt skulle kunne angive andre borgere, begår socialt bedrageri.

Men i 25 af kommunerne sker det helt uden kryptering, og det er klart ulovligt, mener en lektor i persondataret.

»Det er et klokkeklart brud på persondataloven. Det står direkte nævnt i loven, at der skal krypteres særlig voldsomt, når kommunen som dataansvarlig indhenter personfølsomme oplysninger som personnumre og helbredsoplysninger,« siger lektor Charlotte Bagger Tranbjerg fra Aalborg Universitet til Politiken.

Det drejer sig ifølge avisen om, at 12 af kommunerne anvender webformularer, hvor oplysningerne sendes uden kryptering. 13 kommuner opfordrer til tip via e-mail, men uden at angive, at indholdet skal krypteres.

Artiklen fortsætter efter annoncen

Tjenester er beregnet til at inddrage borgerne i kommunernes indsats mod personer, som uretsmæssigt modtager offentlige ydelser ved at have afgivet urigtige oplysninger til kommunen.

Men disse tip til kommunerne vil indeholde oplysninger, som vil være omfattet af persondataloven, og derfor er det sandsynligt, at kommunerne også skal sørge for, at dataene bliver krypteret og sikret på forsvarlig vis.

Derfor vil Datatilsynet nu gå ind og undersøge sagen, skriver Politiken.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
18. oktober 2010 kl. 12:31

Ganske relevant i en IT-sammenhæng. Men helt ærligt, er det da totalt ligegyldigt om websiden/mailen er krypteret i forhold til det problem at sladrehankens navn/telefonnummer/emailadresse efterfølgende bliver skrevet ind i sagsakterne. Hvis jeg f.eks. ringer et "anonymt" tip ind om min nabos svensk indregistrerede Mercedes, risikerer jeg jo at sagsbehandleren skriver mit navn og telefonnummer ind i de sagsakter som naboen naturligvis har ret til at få aktindsigt i. Så er man nok ikke anonym ret længe. OK, i det ene tilfælde beskytter man oplysninger om en borgers personlige forhold og i det andet tilfælde beskytter man anmelders identitet. Men hvis jeg skulle tage det forhold der med størst sansynlighed giver reelle problemer først, så ville det nok ikke blive de krypterede emails, der havde første prioritet.

2
18. oktober 2010 kl. 18:55

jamen, du kan end ikke sende en mail til SKAT som har pdf-bilag sikret med en adgangskode i Adobe.

De 'scanner' mailen FØR de modtager besked om password m.v. og hvad deres 'scanning' af mail og bilag involverer ved jeg ikke. Jeg troede man 'scannede' papirtekst' til pdf og ikke omvendt.

Det er da skandaløst, man ikke kan sende mail til SKAT med password-sikrede bilag.

4
18. oktober 2010 kl. 22:11

@Henrik.

De printer den nok ud først, og så scanner de den.

6
29. oktober 2010 kl. 00:05

De printer den nok ud først, og så scanner de den.

Det er faktisk ikke et så tosset gæt, tror jeg.

Husker Proms dommen - een af dem - for år tilbage.

Proms (kemiske værk på sydsjælland) skulle sende indberetninger til kommunen (tror det var Næstved) på disketter. Det krævede kommunen. Bagefter hævdede kommunen, at Proms havde indsendt forkerte/misvisende oplysninger til kommunens kontrol. Det ville de ha' Proms dømt en bøde for.

Domstolen frikendte Proms på det grundlag, at indholdet på disketter kunne ændres.

Anderledes er det med en fax. En fax godkender domstolene som bevis.

Scannede dodumenter er lige som fax.

5
25. oktober 2010 kl. 15:53

Når Akademikenes A-kasse sender breve til deres ledige medlemmer og indkalder til rådighedssamtale står der bla i brevet:

Du kan også indsende såvel jobskema som ansøgning og CV via e-mail: <a href="mailto:job-kbh@aak.dk">job-kbh@aak.dk</a&gt; HUSK så at angive dit Cpr-nr. Og din mødedato i mailen.

Prøv at finde et OCES certifikat til adressen "job-kbh@aak.dk" på certifikat.dk.

Nej, vel...

Var det ikke en vigtigere sag for Datatilsynet?

3
18. oktober 2010 kl. 22:07

med de to mest brugte e-mail klienter, når du har hentet motagerens - kommunens - ofentlige nøgle fra certifoikat.dk

If you download a Digital ID from or confirmed through a Lightweight Directory Access Protocol (LDAP) server, Outlook Express does not use 128-bit encryption when sending an e-mail message by using this Digital ID.</p>
<p>If the Warn on encrypting messages with less than this strength security setting is set to 128 bit or more, you receive the following message:
This message is being sent with 40 bit encryption. Your Advanced Security options are set to warn on less than 128 bit encryption. Would you like to send this message anyway?

Se selv her:

http://support.microsoft.com/kb/262003

Selvom der står på MS side, at det gælder for OE 5.5 og tidligere versioner, så virker det osse stadig sådan med OE 6.0 i XP Pro og Windows Mail i Vista Home Premium (hos mig).

Man kommer uden om det ved enten at underskrive med sin egen nøgle - og så er det jo ikke længere anonymt - det tvinger til 128 bit kryptering, eller ved at man har lagt modtagerens offentlige nøgle ind fra en modtaget e-mail.

Så jeg undrer ikke så lidt over hele postyret. Ved folk ikke det?

Måske burde man opfordre Datatilsynet til at forbyde brugen af Outlook Express og Windows Mail?