Datatilsynets argument mod kommunale sms-påmindelser: Sms-nettet er åbent netværk

Sagsbehandlere kan ikke garantere, at uvedkommende ikke læser sms-beskeder til borgere, lyder Datatilsynets forklaring på, hvorfor kommunale sms-påmindelser ikke overholder loven.

Den fællesoffentlige NemSMS-løsning, der blev lanceret i denne uge, risikerer at ende som et ubrugeligt it-system for kommunerne.

I hvert fald, hvis Datatilsynet får ret i, at beskeder som 'husk din tid hos tandplejeren i morgen kl. 10' er for private til at sende over det, de kalder et åbent net. Det fremgår af et brev, som Datatilsynet har sendt til Københavns Kommune.

»Fremsendelse via sms må efter Datatilsynets opfattelse betragtes som brug af et åbent net. Ved fremsendelse af almindelige sms´er sker der imidlertid ikke kryptering. Med minimumskravene i sikkerhedsvejledningen er udgangspunktet derfor, at sms´er fra offentlige myndigheder ikke må indeholde fortrolige og følsomme personoplysninger,« står der således i brevet.

It-chef i Datatilsynet, Sten Hansen forklarer til Version2, at fortolkningen af sms-nettet som et åbent net bunder i Persondatalovens bestemmelser.

»Det er et spørgsmål om, hvorvidt den dataansvarlige kontrollerer det, der foregår, eller ej. Når en sagsbehandler vil sende en sms til en borger, skal han som dataansvarlig sørge for, at det er den rette, der modtager beskeden, og at beskeden er transporteret sikkert undervejs. Og hvis andre end den dataansvarlige har adgang til nettet, så er det i princippet åbent,« siger Sten Hansen.

Sms forbudt - men telefon er i orden?
Kommunernes Landsforening, KL, har i går torsdag sendt et brev til Datatilsynet, hvori foreningen undrer sig over klassifikation af telenettet som 'åbent' .

»Hvis Datatilsynets holdning er udtryk for, at det er selve afsendelsen/transmissionen af sms'en, der giver sikkerhedsmæssige problemer, er kommunerne uforstående over for, hvordan en sms adskiller sig fra en telefonopringning. Idet telefonopkald gerne må anvendes til at aflevere både fortrolige og følsomme oplysninger,« står der således i brevet.

Sten Hansen fra Datatilsynet afviser den kritik:

»Vi ved godt, at andre ikke vil betragte telenettet som åbent. Vi bruger ordene åben og lukket i relation til persondataloven - har man kontrol eller ej. Det interessante er, hvad der står i loven, for det er den, vi skal administrere efter,« siger han.

Samtidig påpeger han, at der rent faktisk er en væsentlig forskel på telefonopkald og sms'er:

»Hvis en person modtager opringning, kan vedkommende afbryde samtalen. Den mulighed findes ikke på sms, der er et store and forward-netværk. Modtageren kan ikke blokere for afsendelsen af en sms,« siger Sten Hansen.

KL: Datatilsynets tilgang er formynderisk

KL går i brevet så vidt som til at kalde Datatilsynets tilgang til sagen formynderisk:

»Det er udtryk for en meget formynderisk tilgang til borgerens brug af mobiltelefonen, at kommunerne skal sikre, at der ikke ligger følsomme eller fortrolige oplysninger på borgernes mobiltelefoner. De fleste borgere har informationer liggende i deres sms-arkiv på mobiltelefonen, som de ikke har interesse i, at andre læser. Her er det borgernes eget ansvar, at informationerne ikke kommer til uvedkommendes kendskab, hvilket ofte viser sig ved, at de fleste borgere altid har deres mobiltelefon på sig samt har en personlig kode til mobiltelefonen,« skriver KL.

Datatilsynet kan dog godt se, at tolkningen vil spænde ben for kommunernes planlagte serviceløft ved at indføre sms-påmindelser. Derfor har tilsynet indbudt kommunerne til at komme med konkrete input til, hvilke beskeder de gerne vil kunne sende, og herefter vil tilsynet kigge på sagen igen.

»Naturligvis kigger vi på problemstillingen. Vi er allerede i dialog med kommunerne, så vi sammen kan finde et fornuftigt snit,« siger kontorchef i Datatilsynet, Lena Andersen.

En opblødning af reglerne vil dog kræve en fravigelse af Datatilsynets sikkerhedsvejledning, og denne fravigelse skal godkendes af Datarådet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Erik Cederstrand

På den ene side kan SMS-services og beskeder forbedre den service det offentlige udbyder betragteligt, og jeg kan forestille mig mange nyttige anvendelsesområder.

På den anden side er det ikke sjovt, hvis en reminder fra sygehuset om behandling af gonorré havner på forsiden af EkstraBladet.

  • 0
  • 0
#4 Claus Pedersen

At man ikke kan garantere at uvedkommende ikke kan læse ens sms - jamen kan man overhovedet garantere at en uvedkommende ikke får fat i de oplysninger jeg modtager pr. brevpost?

Jeg kan komme med mange eksempler hvorpå postbudet kan tabe brevet, postkassen bliver brudt op etc. etc.

  • 0
  • 0
#8 Per Erik Rønne

Til gengæld synes jeg så at pressens overtrædelser af privatlivets fred, uden at der foreligger åbenlyse interesser fra offentlighedens side, behandles alt, alt for mildt i retssystemet.

Sæt i stedet ansvarhavende chefredaktør i brummen, og ved gentagne tilfælde også bestyrelsesformand - til sidst også det bestyrelsesflertal, der har valgt bestyrelsesformanden.

Jeg tror nemlig ikke på at eksempelvis Jylitikens bestyrelse vil acceptere noget sådant; så hellere droppe overtrædelser af privatlivets fred.

Og lad os så få en SMS-løsning uden registerfobi.

  • 0
  • 0
#9 Patrick Moog

Ja det er en verden vi har lyst til at leve i, hvor vi sætter chefredaktører i spjældet for noget der bliver skrevet i avisen. Saudi Arabien lyder som et land for dig ;)

Spøg til side, giver det ingen mening at SMS menes mere usikkert end brev eller tlf. Meget vel, loven er skrevet på den måde, så lad os ændre den.

  • 0
  • 0
#11 ab ab

Er der nogen der ved om forbindelsen mellem basestation og mobil er sikker? Ville det fx være muligt at opsnappe andres SMS'er med en laptop, en modtager/antenne og lidt fikst software?

Forbindelsen krypteres gennem en algoritme fra 1987 ved navn A5/1, som du kan læse mere om her: http://en.wikipedia.org/wiki/A5/1

Forskellen mellem elektronisk aflytning og øvrige indgreb i meddelelseshemmeligheden er vel i nogen grad, at den elektroniske aflytning i vid udstrækning kan foretages uden at efterlade spor af indgrebet.

  • 0
  • 0
#12 Carsten Gram

Som jeg læser debatten, har dette INTET at gøre med den tekniske løsning!

Det drejer sig om, at kommunen/det offentlige IKKE kan være sikker på at person-følsomme oplysninger bliver modtaget af den rette person. Ved et telefon-opkald, har sagsbehandleren mulighed for at afgøre om det er den rette person, der er skabt forbindelse til, før de følsomme informationer, bliver "afleveret". Dette kan ikke foregå på sms. Sammenlignes der med breve, er der en lovgivning, mht. brevhemmelighed. Åbner du et brev der ikke er adresseret til dig, gør du noget strafbart. Læser du en sms, på din mobil, er den adresseret til dig, men det kan jo godt være at det var ment til den person, der havde nummeret før dig.

Jeg har personlige erfaringer med psykiatrien, og kan oplyse at der IKKE står afsender på brevene!! Så det er først når du åbner brevet at du kan se det, og så har du igen gjort noget strafbart, såfremt brevet ikke var adresseret til dig.

Carsten

  • 0
  • 0
#14 Jesper Lund

Denne SMS sag udspringer i hvert fald delvist af en henvendelse til Datatilsynet fra Københavns Kommune, som Datatilsynet besvarer her http://www.datatilsynet.dk/fileadmin/user_upload/sms_.pdf

Københavns Kommune vil gerne spamme borgerne per SMS, ikke bare i de tilfælde hvor borgeren selv har givet tilsagn om dette og oplyst et mobilnummer. Nej, Københavns Kommune vil skam selv slå op i telefonbogen og sende en SMS til det nummer som optræder der, hvis navn og adresse matcher [1]. Det skal nok blive godt med de mange fejl og mangler som der er i telefonnummer databaserne. Det er ikke usædvanligt at finde 2-3 mobilnumre med samme navn og adresse. Nogle af disse numre kan måske endda være overgået til en anden abonnent uden at databasen er opdateret?

Hertil bemærker Datatilsynet dog heldigvis at offentlige myndigheder ikke må kommunikere elektronisk med borgerne uden deres forudgående accept. Så må vi se hvor længe denne beskyttelse holder, når nemXXX lobbyisterne kommer i sving.

[1] Lidt OT, men det minder mig om dengang (for et par år siden) hvor jeg modtag en el-regning (flytteopgørelse) fra Københavns Energi på trods af at jeg aldrig nogensinde har boet i Københavns Kommune. Jeg var bare blevet offer for deres tilfældige opslag i diverse adressedatabaser.

  • 0
  • 0
#15 Jesper Lund

Man kan vel bare lade borgerne vælge, om de vil modtage en SMS. Sådan fungerer https://www.cure4you.eu/

Jeg så ikke nogen SMS reminder funktion på dette site. Derimod lignede det (endnu) en smart gatekeeper som vil have mig til at betale for at få adgang til svar fra min læge (som jeg allerede har betalt for en gang via skatten).

Derudover kunne jeg se en mulighed for at få adgang til andres fortrolige oplysninger hvis jeg kender deres CPR numre?

  • 0
  • 0
#16 Lasse Reinholt

Er der nogen der ved om forbindelsen mellem basestation og mobil er sikker? Ville det fx være muligt at opsnappe andres SMS'er med en laptop, en modtager/antenne og lidt fikst software?

Hvis der ingen kryptering er, kan jeg godt forstå datatilsynets vinkel på sagen.

Det hele lyder altså lidt skørt nu. Er det ikke lige så slemt, hvis en hacker bare stiller sig op rent fysisk foran lægeklinikken eller socialkontoret og observerer dem, der går ind?

Dermed ikke sagt, at man måske bør undlade den nøjagtige beskrivelse i SMS'en. Men når vi er ude i, at en hacker kunne opsnappe din aftale via SMS'en i luften, så lyder det som overkill.

  • 0
  • 0
#17 Michael Degn

På den ene side virker dette som en storm i et glas vand og på den anden side synes jeg bare at Datatilsynet gør deres arbejde. Lemfældig omgang med borgernes persondata er altså ikke i orden, selvom ufattelig mange mennesker er ligeglade med dette.

Derfor er det efter min mening helt i orden at Datatilsynet forlanger nogle håndgribelige retningslinier for brug af SMS. Vi skal huske på at for mange brugere er det en trend at udskifte mobiltelefonen og nummeret så snart de finder et bedre tilbud. Dermed er nummeret altså ret flygtigt i forhold til emailadresse + evt. digital signatur.

Politikere har det med at vil digitalisere hvad som helst uden skelen til sikkerhed. Derfor skal dette ikke sættes i værk før der er klare retningslinier for hvilke informationer der må sendes og under hvilke forhold.

  • 0
  • 0
#18 ab ab

Det hele lyder altså lidt skørt nu. Er det ikke lige så slemt, hvis en hacker bare stiller sig op rent fysisk foran lægeklinikken eller socialkontoret og observerer dem, der går ind?

Nej det er ikke lige så slemt, hvis en "hacker" bare stiller sig op rent fysisk foran lægeklinikken af følgende grunde:

1) "Hackeren" får kortere tid til at handle på viden om, at jeg ikke er hjemme, end hvis han kan opsnappe en påmindelses-sms afsendt dagen forinden

2) "Hackeren" kan ikke automatisk koble synet af mit ansigt til hvor jeg bor henne. Det vil imidlertid være en smal sag for ham at koble mit telefonnummer eller måske ligefrem mit CPR-nummer til min hjemmeadresse.

3) "Hackeren" skal være fysisk til stede gennem længere tid for at opsnappe oplysninger om flere personers tilstedeværelse hos lægen. Hvis han i stedet blot kan opsnappe påmindelses-SMS'er, kan han sætte et program op til at foretage automatisk opsamling af oplysningerne, uden at han risikerer at blive opdaget af forbipasserende, der undrer sig over, at han står og holder udkig gennem længere tid. Det vil gøre det langt mere økonomisk at foretage denne form for overvågning.

Dermed ikke sagt, at man måske bør undlade den nøjagtige beskrivelse i SMS'en. Men når vi er ude i, at en hacker kunne opsnappe din aftale via SMS'en i luften, så lyder det som overkill.

Jeg gætter på, at du ville have sagt det samme, hvis du for 10 år siden havde fået at vide, at kriminelle kunne finde på at franarre dig dit password for derefter at begå indbrud i din netbank. Alligevel er det en realitet i dag.

Faktisk har der allerede fundet en lignende form for misbrug sted: For nogle år siden var det en yndet sport blandt indbrudstyve at tage opstilling ved den dansk-tyske grænse for at observere nummerpladerne på de bilister, der i juli måned kørte sydpå. Herefter ringede de til politiet under påskud af at ville ordne en forsikringssag, hvorefter de fik udleveret adressen på bilens ejer på baggrund af nummerpladen. Det var således en smal sag for tyven at begå indbrud i ejerens hjem, mens denne var på ferie i 14 dage. Af samme årsag blev adgangen til at foretage opslag i motorregistret begrænset.

  • 0
  • 0
#19 Anonym

Datatilsynet i Danmark er omtrent så meget bevendt som en FN-observatør var det i Srebrenica. De er fuldstændigt ude af trit med virkeligheden - både problemets beskaffenhed og hvad der skal til for at løse det.

Ja, man kan ikke ignorere problemet. Nej, 3.parts aflytning er nok et reelt problem, men det er minimalt i forhold til de primære angribere.

Problemet og de primære angribere er gatekeeperne i infrastrukturen og afsenderen selv.

a) Hvis en services skal kunne ligges i cloud, så må servicen ikke kunne henføre data til en konkret person. Et mobilnummer er en stærk personidentifier og derfor må afsenderfunktionen ikke kende mobiltelefonnummeret. Det problem løser man ikke ved bare at skyde en proxy ind mellem afsender og modtager - det er mere kompliceret end som så fordi denne proxy bliver til en massiv magt- og risikokoncentration a la NemId/DokumentBoks - og så er vi først for alvor i problemer.

b) Hovedproblemet er teleoperatøren som i stigende grad vil ligge og opsamle data om forbrugeren/borgeren. I udlandet sælges disse data og misbruges aktivt til profilering og feedback-loop til påvirkningen. Det samme sker allerede og vil i accellerende grad ske i Danmark via f.eks. Google.

Også førend teleoperatørerne aktivt går i gang med at sælge data - tag ikke fejl her. Der er sætrke forsøg fra telebrancen for at få åbnet op for salg af adfærdsdata, så de kan tjene mere på deres abonnenter.

Hvis man laver reminers så teleoperatører, Google og Services ikke kan sikres, så er datamisbrug en direkte og uundgåelig følge.

Datatsilynet ser hverken problemerne eller løsnignerne. De mumler samtykke og kryptering mod nogle tilfældige eksterne.

Angriberne er serverne på vejen som er angriberne. Hvis man insisiterer på at tage 3. part med, så angta at serverne er crackede - serere er langt mere usikre end klienter når man ganger op med konsekvensen, dvs. motivationen for angriberne.

Løsningerne finder man i regi af er stærk adskillelse af HVEM og HVAD i alle trin af processen.

I samme moment skal man eliminere det teknologiske lock-in ogsikre interoperabilitet/net neutrality - hvem i alverden siger at jeg vil have en reminder som SMS?

  • 0
  • 0
#22 Thomas Tanghus

Jeg så ikke nogen SMS reminder funktion på dette site.

Det er der nu, når man bestiller tid/fornyer recept - og man skal logge ind for at se svaret. Det var blot et eksempel på at en simpel måde, hvorpå brugeren kunne vælge at ville mogtage SMS, burde komme uden om datatilsynets krav.

Derimod lignede det (endnu) en smart gatekeeper som vil have mig til at betale for at få adgang til svar fra min læge (som jeg allerede har betalt for en gang via skatten). Derudover kunne jeg se en mulighed for at få adgang til andres fortrolige oplysninger hvis jeg kender deres CPR numre?

Sandt nok. Jeg benytter mig ikke af betalingsdelen, og ser da også frem til et sikkert, offentligt financieret system for alle praktiserende læger.

  • 0
  • 0
#23 Anonym

Kunne man ikke blot pålægge mobiloperarørere at opretholde brevhemmeligheden?

Nej - det er ikke en holdbar model. Du er nødt til at gå helt ned og sikre at teknologien gennemtvinger pricnipper fordi ellers vil interessernes design af teknologi underminere principperne - det er den meget stærke tendens som vi ser overalt.

Hvis der er penge eller interesser, så finder man vej til at omgå love og rettigheder. Se f.eks. læringen fra FaceBook http://www.eff.org/deeplinks/2010/04/facebook-timeline

Ligesom der slet ikke er nogen som tror på at ministerierne kan holde fingrene fra persondata når de først ligger i en database. "genbrug" er jo godt.

Se hvordan hele "nem"-systemet er en stor afpresningsmodel som har til formål at sikre centraladministrationen direkte adgang til dine data på tværs. Det er et stort registersamkørings- og umynddiggørelsesprojekt betalt ved at man sælge din suverænitet til en gatekeeper - e.g. NemSMS

og her skal man huske på at lockin fungerer UDEN man direkte misbruger data. Den business case har til formål at udelukke og blokere konkurrence - f.eks. når bankerne går samme i et kartel for at skubbet telesektoren ud af Digital Signatur og blokere mobiltelefonerne i at komme på banen omkring betalinger.

Vi er nødt til at erkende at kravene til sikkerhed er radikalt meget højere i takt med at alting integreres. Det er interesserne (komemrcielle og bureaukratiske) som driver værket og den eneste måde at holde dem fra fadet er ved at sikra at kontrollen ligger rigtigt - end-to-end.

Og det er FØR vi fokuserer på det allervigtigste - at hele modellen ødelægger samfundets innovationsevne ved at fastlåse os i beton i infrastrukturens knudepunkter.

  • 0
  • 0
#24 Anonym

Et af problemerne er at de færreste har fornemmelse for hvor afgørende valg, man faktisk træffer lige nu.

Hvis vi ikke passer afsindigt meget på, så træffes der de fakto ikke-reversible valg som fastlåser os i stive PBS-konstruktioner kombineret med accellerende datamisbrug a la Google og den offentlige planøkonomi.

Konsekvensen er på samme tid. a) En kortsigtet "værdi" hardkoder os til langsigtet ineffektivitet ved at blokere for konkurrence og innovation.

b) It-sikkerheden er non-eksistent - interesserne kan alt hvad de vil og lovgivningen spiller fallit til at beskytte både data og markedsprocesser.

c) Retsamfundet er under konstant erodering indefra - FORDI man ikke respekterer borgeren som samfundet primære beslutningsenhed og mest kritiske ressource.

Alle processer drejer sig om den nemmeste vej til at springe over gærdet - kun set fra system-interessen, meget sjældent fra Behovets mulighed og kontrol til via frie valg at tvinge værdikæderne til at tilpasse sig over tid.

Så kort sagt - NEJ - vi skal ikke have en CPR-baseret gatekeepermodel. Det er samfundsdestruktivt af værste skuffe.

Vi er nødt til at tænke virtualisering, interoeprabilitet i begge ender samtidig - OG tænke end-to-end, så vi ikke får disse destruktive gatekeepere i infrastrukturen.

  • 0
  • 0
#25 Deleted User

nÅR ALT SKAL SPARE OG MAN VED AT DER ER SÅ OG SÅ MANGE PROCENTS SPILD I DET OFFENTLIGE BEHANDLINGS SYSTEM, så er det da sindsygt at man ikke må minde folk om en tid per SMS ! Det er fuldstændig hul i hovedet og alle dumme agrumenter om sikkerhed er lige til at stikke op et vist sted, det kan da være fuldstændig ligegyldigt om nogen ser at man har en tid der og der kl. der skal jo ikke stå at du skal komme og få tjekket din syfilis !!!! Hvis man regner med 10% spild (og det er nok lavt sat) så kan man jo regne på hvor meget man kan spare, Lars Løkke har lige klaret det hele med sådan et system ! End anden måde var at straffe folk som ikke mødte op med 1000 Kr. i bøde trukket på deres Nem konto, så kan de sgu lære det, med nogle gamle forældrer som skal vente og vente på div. behandlinger er det sgu svært at forstå, jeg kørte 2 gange min 79 årige far til scanning, begge gange var den der skulle have været il før ham ikke dukket op !!!! gODT FOR DET PRIVATE FIRMA AT VI KOM TIDLIGT, SÅ KUNNE DE BRUGE MASKINERENE ! Vågn op, der er sgu ikke noget hemmeligt i det ! Det gør mig syg at høre på sådan en fra datatilsynet, han ved jo slet ikke hvad der sker ude i den rigtige verden, han har vel ikke set solen i 10 år !!!!

  • 0
  • 0
Log ind eller Opret konto for at kommentere