Datatilsynet åbner sag mod staten om CPR-læk

7. juli 2014 kl. 10:3119
Lækagen af 900.000 danske CPR-numre får Datatilsynet til at rejse sag mod staten. En virksomhed var blevet politianmeldt, siger tilsynet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sagen om Økonomi- og Indenrigsministeriet, der i sidste uge stod bag en datalækage og lod 900.000 danske CPR-numre ligge til frit skue på den såkaldte Robinsonliste, er blevet til en sag hos Datatilsynet.

I en meddelelse fredag skriver tilsynet, at det har: “besluttet at indlede en sag af egen drift mod Økonomi- og Indenrigsministeriet bl.a. med henblik på at finde ud af, hvad der specifikt er sket, hvad ministeriet vil gøre fremadrettet for at undgå, at noget lignende kan ske igen, og om der skal udtales kritik mod ministeriet som følge af lækken af de ca. 900.000 borgeres cpr-numre.”

Robinsonlisten er en intern liste i Det Centrale Personregister over forbrugere, der har bedt sig fri fra uopfordrede skriftlige og telefoniske henvendelser i markedsføringsøjemed. Optagelse på listen sker ved henvendelse til folkeregistret. Før en virksomhed henvender sig til forbrugeren er den forpligtet til at tjekke, om forbrugeren er optaget i Robinsonlisten. Hvis det er tilfældet, må virksomheden ikke kontakte forbrugeren. Robinsonlisten blev indført i Danmark i 2000 gennem en ændring af Markedsføringsloven og Persondataloven.

Det amerikanskejede it-selskab CSC har til opgave hvert kvartal at levere listen til CPR-kontoret, hvilket selskabet har gjort siden år 2000. Men tirsdag havde CSC problemer med selskabets batchkørsler, og det påvirkede udarbejdelsen af den opdaterede version af den Robinson-liste, som CSC skulle levere.

Artiklen fortsætter efter annoncen

Da CSC blev rykket for listen, endte selskabet med at udlevere en version, hvor der endnu ikke var kørt de batchprogrammer, som skulle fjerne CPR-numrene fra udtrækket fra CPR-registret, som er grundlaget for listen.

Hverken hos CSC eller hos CPR-Kontoret blev listen kontrolleret, inden den blev lagt ud på den tjeneste, hvorfra cirka 600 tilmeldte virksomheder henter listen. 15 virksomheder nåede at downloade listen inden lækken blev opdaget og stoppet.

Finn Gilling fra firmaet Gilling ApS er krediteret som første mand, der opdager lækagen og kontakter CPR-kontoret. Gilling arbejder som statens distributør af ejendomsoplysninger. Senere på aftenen modtaget Finn Gilling besked om, at listen er taget ned. Finn Gilling, som til daglig arbejder med personfølsomme data, siger til Børsen, at han betragter det danske CPR-system som så kompromitteret, at et CPR-nummer alene ikke længere bør kunne benyttes til nogen former for online-transaktioner.

Datatilsynet oplyser at det på nuværende tidspunkt har modtaget flere klager fra nogle af de ca. 900.000 borgere, hvis cpr-numre var omfattet af lækken hos Økonomi- og Indenrigsministeriet.

Artiklen fortsætter efter annoncen

»Vi vil nu tage kontakt til cpr-kontoret og bede dem om at komme med en redegørelse. Vi vil blandt andet spørge dem til, hvad der er sket, og hvad de vil gøre fremadrettet for, det ikke sker igen. Det er helt standard, når der er en sikkerhedsbrist af den her størrelse«, siger Jesper Vang, der er specialkonsulent i Datatilsynet.

Til avisen Politiken fortæller han, at cpr-kontorets fejl ikke kan få de samme konsekvenser, som hvis det havde været en privat virksomhed, der havde lækket cpr-numrene.

»Nu er det jo en offentlig myndighed, og så er vi lidt begrænset i, hvad vi kan. Hvis en privat havde gjort noget tilsvarende, ville vi nok tale om en politianmeldelse. Den mulighed eksisterer ikke i forhold til offentlige myndigheder. Det er der ikke hjemmel til i persondataloven«, siger Jesper Vang.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
7. juli 2014 kl. 18:52

Men private personer/virksomheder sættes i isolationsfængsel. Dette er rent Stasi. Efter denne brøler bør du nu ryddes op og ændres og de private frikendes med det samme. Det er helt absurd historie og skammeligt.

8
7. juli 2014 kl. 13:37

...så når Offentlige myndigheder kvajer sig så er der reelt set ikke nogen mulighed for at gøre noget ?

15
8. juli 2014 kl. 11:21

Ikke sådan voldsomt flot :-)

en hvad skulle konsekvensen være? Private virksomheder får en bøde, det hjælper nok på motivationen til at overholde loven. Giver staten en bøde til staten får staten pengene, og så er vi ligesom lige vidt.

18
8. juli 2014 kl. 11:43

Giver staten en bøde til staten får staten pengene, og så er vi ligesom lige vidt.

Staten er ikke en homogen masse. Hvis CPR kontoret mister så mange penge, at det kan mærkes på deres budget, så bliver de nødt til at bede regeringen om at tage hensyn til dette i form af en ekstrabevilling eller eventuelt på næste finanslov. Og en bøde på 900,000 gange 2.500Kr. vil nok kunne mærkes.

Men du har stadig ret i, at der mangler lighed for loven, hvis det ikke får personlige konsekvenser for dem, der har været skyld i dette læk.

1
7. juli 2014 kl. 10:45

Hvorfor skal der være en liste på dem som ikke ønsker reklamer og generende uopfordrede henvendelser? Egentlig purde der bare være en liste på dem der aktivt ønsker at blive generet(kontaktet), selvfølgelig uden andet end det der står i telefonbogen. Telefonsælgerne må have en kraftig lobby, siden reglerne er udformet som de er.

4
7. juli 2014 kl. 11:51

Robinsonlisten er en liste over personer der ikke ønsker at modtage post.

Nej, Robinsonlisten er en liste over personer der ikke ønsker at modtage adresseret post.

Reklamer Nej Tak er en ordning for de, der ikke ønsker at modtage uadresseret post (= reklamer).

At PostDanmark så får rodet det sammen ved at smide et omslag med adresse rundt om de uadresserede reklamer for at omgå "Reklamer Nej Tak" er så et ekstra lille rafinement.

13
7. juli 2014 kl. 22:04

At PostDanmark så får rodet det sammen ved at smide et omslag med adresse rundt om de uadresserede reklamer for at omgå "Reklamer Nej Tak" er så et ekstra lille rafinement.

Postdanmarks omslag ændrer ikke på de enkelte reklamers status som uadresserede reklamer. Årsagen til omslagene er at PD har nogle avancerede pakkemaskiner, der kan pakke forskellige reklamer til forskellige modtagere, så fx. villaer og etageejendomme på samme gade kan modtage forskellige reklamer. Kun ved at have adresse på omslaget kan postbuddet se hvem der skal have hvilke reklamer.

14
8. juli 2014 kl. 03:32

Årsagen til omslagene er at PD har nogle avancerede pakkemaskiner, der kan pakke forskellige reklamer til forskellige modtagere, så fx. villaer og etageejendomme på samme gade kan modtage forskellige reklamer.

De maskiner er nu ikke super avancerede (specielt i forhold til OCR-maskinerne, der laver standardbrevssortering) - men effektivitetseffekten er ret stor. I stedet for enten at skulle have en "reklamer ja tak" liste med på sin rute, eller at skulle checke hver enkelt postkasse på ruten, er der omslag med rekvalmer til de folk, der ikke har sagt nej tak. Naturligvis burde man i stedet lave en "ja tak" ordning, men hvor jeg bor (centralt i Århus) fungerer nej-tak ordningen efterhånden fint.

I starten af nej-tak ordningen var der stadig en del rekvalmer, det var vist noget med at det var op til hver enkelt virksomhed om de rent faktisk ville respektere den, og noget med et free-pass hvis man kunne påstå man leverede almegennyttig samfundsoplysning. De sidste år har jeg kun fået spam fra kræftens bekæmpelse, en lokal kirke, og (i PestDK omslaget) FOF.

Nåja, og så et par enkelte alternative distributionsselskaber, samt lokale pizzapushere, der åbenbart totalt ligeglade med ordningen. Det er muligvis deres lovmæssige ret, men interessant at de tror det er en god idé at smide rekvalmer i postkasser med nej-tak mærket på...

7
7. juli 2014 kl. 13:26

Nej, Robinsonlisten er en liste over personer der ikke ønsker at modtage adresseret post.

og telefonsalg.http://www.forbrug.dk/Artikler/Dine-rettigheder/Forbrugerleksikon/telefonsalg?tc=89B67C23ABFB4A04BF8D8CD1797A3E37

Lovligt telefonsalg</p>
<p>En sælger må gerne ringe til dig, uden du har bedt om det, hvis det drejer sig om salg af</p>
<pre><code>abonnementer på aviser, ugeblade, tidsskrifter
bøger
formidling og tegning af forsikringer og
abonnement på redningstjenester og sygetransport
</code></pre>
<p>Bliv fri for telefonsalg</p>
<p>Du kan blive fri for disse opkald ved at melde dig til ”Robinsonlisten”.

16
8. juli 2014 kl. 11:21

Det har altid undret mig hvorfor der er de 4 undtagelser til dørsalgsloven. Er der nogen der han en anelse om hvorfor lige de 4 har lov til at ringe uopfordret?

19
9. juli 2014 kl. 20:42

Det har altid undret mig hvorfor der er de 4 undtagelser til dørsalgsloven. Er der nogen der han en anelse om hvorfor lige de 4 har lov til at ringe uopfordret?

Et gæt kunne være at det dels er oplysende/kulturelt/dannelse med aviser, tidsskrifter bøger osv. og man engang har ønsket at "presse" såkaldte "svage" grupper og måske friste dem til at blive lidt mere oplyste ...

Forsikringer og redningskorps kunne jeg forestille mig er begrundet i ønsket om at alle folk er opmærksomme på muligheden for at forsikre sig. Nogle steder er der ikke tradition for at tænke på forsikringer - det kunne f.eks. ses i Grønland for en del år siden da en boligblok brændte, og mener også der var en brand her i Danmark for nogen tid siden hvor der var en del lejligheder hvor beboerne ikke havde forsikret deres indbo.

6
7. juli 2014 kl. 12:45

<strong>§ 6, stk. 1 -­ Forbud mod anvendelse af <em>elektronisk</em> post, telefax mv.</strong></p>
<p>Stk. 1. En erhvervsdrivende må ikke rette henvendelse til nogen ved brug af <em>elektronisk</em> post, et automatisk opkaldssystem eller telefax med henblik på afsætning af varer, fast ejendom og andre formuegoder samt arbejds- og tjenesteydelser, medmindre den pågældende forudgående har anmodet om det.

Det kunne ordnes meget elegant ved blot fjerne "elektronisk" fra lovværket...

3
7. juli 2014 kl. 11:44

Robinsonlisten er en liste over personer der ikke ønsker at modtage post.

Det er næsten rigtigt. Det er en liste over personer, som vil beskyttes mod direkte markedsføring fra firmaer. I henhold til "dørsalgsloven" må virksomheder gerne henvende sig til forbrugere pr telefon ved bestilling af bøger, tegning af abonnementer på aviser, blade, falck eller i forbindelse med forsikringsaftaler.

Derudover så kan man med et kundeaccept ringe med andre produkter. Dette får virksomheder typisk igennem konkurrencer.

Fred være dem, som ikke vil kontaktes. Oftest er der faktisk (for mig) nogle relevante og billige tilbud. Så personligt vil jeg gerne høre nogle tilbud.

Hvad angår CPR, så går jeg ind for at alle CPR-numre burde være offentlige, så de nemt kan benyttes som et ID i diverse (IT-)systemer.