Datatilsynet: Anmeldelser af offentlige persondata-læk stiger fra nul til otte

Illustration: Elena Nichizhenova/Bigstock
Med Persondataforordningen skal både private og offentlige organisationer indberette læk af persondata til Datatilsynet. Og det har sat skred i tingene.

Datatilsynet bliver som aldrig før gjort opmærksom på læk af persondata i det offentlige. Set over en bred kam er det især læk af navne og CPR-numre på borgerne fra offentlige enheder, som er blevet meldt ind.

Med Persondataforordningen – som træder i kraft i dag – skal både private og offentlige organisationer indberette læk af persondata til Datatilsynet. Overordnet kaldet ‘brud på persondatasikkerheden’.

Der er ikke alene tale om egentlig læk af persondata, som skal anmeldes, men også ulovlig sletning og ændring tæller med, ligesom uberettiget adgang til persondata gør det.

Eksempler på databrud kan være en medarbejder, der mister sin mobiltelefon uden tilstrækkelige sikkerhedsbeskyttelse. Eller en virksomhed, der er ramt af et hackerangreb, som har givet indsigt i personoplysninger.

Tal, som Version2 har indhentet fra Datatilsynet, viser, at der, omend tallene endnu er små, er sket en voldsom stigning i antallet af henvendelser fra det offentlige om persondatabrud til Datatilsynet.

Således modtog tilsynet i perioden 1. marts til 17. maj 2017 fire anmeldelser fra private virksomheder om datalæk, men ingen fra det offentlige.

I samme periode i år har tre private og hele otte offentlige virksomheder anmeldt et persondatabrud.

»Tallene viser, at både virksomheder og offentlige myndigheder er begyndt at øve sig på forpligtelsen,« siger Katrine Valbjørn Trebbien, der er specialkonsulent i Datatilsynet.

Eksempler på anmeldte sager er ifølge Datatilsynet:

  • CPR-numre blev uberettiget tilgængelige via borgeradgang til et offentlig system
  • Ved en fejl blev et CPR-nummer ikke anonymiseret i en aktindsigt
  • Mails fremsendt med bilag med navn og CPR-nummer
  • Hjemmeside viste – også til uberettigede – borgeres navn, adresse, CPR-numre og karaktergennemsnit
  • Referat videregav beskyttet adresse på borger

Sandsynligvis vil antallet af indberetninger stige:

»Jeg antager, at der er flere sikkerhedsbrud, end vi får anmeldelser om, bl.a. fordi der hidtil ikke har været en tilsvarende forpligtelse om anmeldelse i Persondataloven,« siger hun.

Læk af persondata er alvorligt

Årsagen til de skærpede bestemmelser om indberetning er, at læk af persondata opfattes som alvorlige.

De kan ifølge EU-forordningen blandt andet medføre skade på de ramtes omdømme, medføre tab af fortrolighed eller skade de ramte økonomisk eller socialt.

Derfor kan brud på persondatasikkerheden – og dermed persondataforordningen og den danske implementering – føre til, at man får kritik af Datatilsynet eller bliver mødt med et påbud.

I værste fald falder der bøder, der for private virksomheder kan løbe op i 20 millioner euro eller 4 procent af virksomhedens globale årlige omsætning.

Offentlige myndigheder kan pålægges en bøde på op til 4 procent af dens driftsbevilling – dog med et loft på 16 millioner kroner.

Datatilsynet oplyser, at nævnte indberettede sager er ved at blive vurderet, så der foreligger endnu ikke en afgørelse om evt. konsekvenser. Dog er én af sagerne afsluttet med et opfølgende brev til den dataansvarlige.

Anmeldelse skal ske på virk.dk uden unødig forsinkelse og senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet.

Ud over Datatilsynet skal de ramte underettes ved brud på persondatasikkerheden, hvis bruddet sandsynligvis medfører - som det lyder - 'høj risiko for fysiske personers rettigheder og frihedsrettigheder'.

Generelle eksempler på brud på persondatasikkerheden er:

  • Andre personer end den eller de personer hos dataansvarlige, der er autoriseret til det, får (uautoriseret) adgang til personoplysninger. Det kan både være personer uden for eller inden for dataansvarliges organisation.

  • Den dataansvarliges medarbejdere ændrer eller sletter personoplysninger ved et uheld.

  • Brud på den dataansvarliges server, hvor uvedkommende har fået indsigt i personoplysninger – f.eks. kundedatabasens CPR-oplysninger, kreditkortoplysninger el. lign.

  • Den dataansvarliges medarbejdere videregiver ubevidst eller bevidst personoplysninger om en borger/kunde til en anden borger/kunde – eller måske ligefrem flere andre uvedkommende personer.

  • Når manglede kryptering af den dataansvarliges hjemmeside indeholdende f.eks. et kundelogin resulterer i, at en eller flere uvedkommende får direkte adgang til kundens personoplysninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Professor i internetforskning, Niels Brügger
"- På humaniora har vi ikke rigtig haft nogen tradition for at omgås vores forskningsdata, som noget vi skulle passe særlig meget på. "


Det er nok den årelange ligegyldighed med persondata. Som har betydet at der bliver lukket helt ned. God for det. Klynk fra forsker, i kunne hvis etikken og moralen var i orden, have advaret mod software og mulighederne som cambridge analytica misbrugte. Så have i stået langt bedre i dag.

Selv om det i artiklen skrives at datatilsynet kan åbne op for data af forsknings hensyn. Så skal private firmaer for at overholde GDPR, give besked om dette. med et muligt fravalg fra kunder. Risiko for bøder og besvær. Tror det i fremtiden bliver svært at hive data ud fra seriøse firmaer, som ikke i forvejen lever af at sælge data.

Men forskers savlen over facebook data, og deres forarmelse uden. Leder jo nok til den konklution. At man IKKE skal bruge facebook, eller begrænse sig meget. Og sikkert sig at de ikke får data fra 3 part. Den "forskning" som de mangler, er den samme som alle de kommercielle selskaber, stats terrorister og andre misbruger.


Anja Bechmann, må også have et problem, når hun åbenbart er afhængige af facebook for at kunne forske. Hun er næsten ved at smide børneporno kortet.
Hvorfor kan man ikke undersøge depression uden facebook, og foregår internet mobning kun på facebook. Og stopper mobning så også, når facebook får mere styr på indlæggene. ? Det tror jeg ikke, og for mobning blandt børn er facebook ikke valid. De fleste bruger andre platforme, og for børn under 14. De slet ikke have en konto, det er der faktisk mange forældre der kan forstå.

" Det betyder jo, at vi ikke kan undersøge emner som depression, fake news og internetmobning .."

https://www.dr.dk/nyheder/viden/teknologi/forskere-advarer-vi-maa-ikke-p...


PS. Anja hvis du vil undesøge Fake News, se på foxnews.com og en hvis heres twiterkonto.

Anne-Marie Krogsbøll

Ja, desværre er der nogle forskere - ofte toneangivende - som er villige til at ofre retten til privatlivet - helst andres - på (ofte endda den industriforbundne) forskningens alter.

Man må spørge disse forskere: "Hvis vi kan udrydde al verdens sygdomme og ulykker ved at indføre et totalitært diktatur - skal vi så gøre det? Er I villige til den byttehandel?"

For det er jo det, det handler om. En moderne Faust-historie, hvor man giver djævlen sin lillefinger, og han ender med at tage ens sjæl. Det nytter ikke at forsøge at benægte det, for den byttehandel er jo allerede i gang i disse forskeres bestræbelser - "Hvis ikke vi får ubegrænset magt over og adgang til dine data og dit privatliv, kan vi jo ikke forske, og finde kuren for alverdens ulykker."

Forskningens ubegrænsede rettigheder kommer ikke gratis - der er en pris at betale i form af tab af menneskerettigheder. Det er jo allerede tydeligt i forskernes modstand mod at give borgerne mulighed for at sige "nej" til forskernes indtrængen i privatlivet.

Så vil du betale med dine menneskerettigheder for udsigten til - måske (det er jo ti fugle på taget) - udsigten til evigt liv? Hvor sjovt er evigt liv som slave....?

Tobias Volfing

... Det nytter ikke at forsøge at benægte det, for den byttehandel er jo allerede i gang i disse forskeres bestræbelser - "Hvis ikke vi får ubegrænset magt over og adgang til dine data og dit privatliv, kan vi jo ikke forske, og finde kuren for alverdens ulykker."

For nogles vedkommende er det desværre ikke engang for at kurere ulykker. I artiklen Hans linker til er Niels Brügger bekymret for at der smides vigtig forskningsdata ud:

... Men hvis for eksempel at boghandlerne på nettet smider deres kundeoplysningerne ud, så bliver det jo svært at skrive e-bogshandlens historie i Danmark

Vores menneskerettigheder er desværre sandsynligvis til salg for langt mindre end udsigten til evigt liv. Sådan vil det nok være så længe mennesker er villige til at sælge deres privatliv for chancen for at vinde en iPad, bonus point eller tilbud på bleer.

Log ind eller Opret konto for at kommentere