Reportage

Derfor underrettede Datatilsynet ikke GoMentor om datalæk

9. januar 2019 kl. 05:1224
Derfor underrettede Datatilsynet ikke GoMentor om datalæk
Illustration: Henning Mølsted.
En systemteknisk fejl var årsagen datalækket, og netop derfor var bevissikringen mere kompliceret end normalt, forklarer Datatilsynet.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det er en svær afvejning, når Datatilsynet skal afgøre, om de skal orientere en virksomhed om et datalæk med det samme, eller om de skal sikre beviser først. Det viser Datatilsynets svar til Folketingets Retsudvalg.

Spørgsmålet om, hvor hurtigt Datatilsynet skal underrette, og hvor lang tid de bør bruge på at sikre beviser, blev heftigt debatteret i slutningen af november, hvor et alvorligt datalæk hos terapiportalen GoMentor blev afsløret.

Her kom det frem, at Datatilsynet havde valgt at tie om lækket, mens deres egen efterforskning af virksomheden stadig var i gang, på trods af at dybt private oplysninger stadig lækkede fra GoMentor.

Nu skriver Datatilsynet til Retsudvalget, at det ikke altid er Datatilsynets praksis at orientere virksomheder med datalæk med det samme.

Artiklen fortsætter efter annoncen

Hovedreglen er, at hvis de lækkede oplysninger ligger frit tilgængelige på internettet, og datalækket skyldes en »menneskelig fejl«, så underretter Datatilsynet virksomheden med det samme.

Skyldes datalækket derimod en »systemteknisk fejl«, så er bevissikringen typisk mere kompliceret for Datatilsynet, skriver tilsynet. Derfor vil de i nogle tilfælde vente med at underrette virksomheden, men kun hvis de lækkede oplysninger alene kan tilgås af et begrænset antal personer - for eksempel personer, som allerede kender til bruddet og ved, hvordan man får adgang til dataene.

Begrænset adgang til lækkede data

Datalækket på GoMentor var netop en systemteknisk fejl, skriver Datatilsynet. Ifølge GoMentor selv var roden til datalækket en programmeringsfejl i et brugerkonto-modul.

De lækkede oplysninger kunne heller ikke umiddelbart findes på internettet med et par klik. Man skulle bestille en tid til en samtale gennem GoMentors bookingsystem og indtaste 00 00 00 00 som telefonnummer for at få adgang til oplysningerne, som blandt andet talte kontaktoplysninger på de fem berørte borgere og deres private beskrivelser af blandt andet stofmisbrug, barndomsproblemer og sex.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Da Datatilsynet valgte at undlade at orientere GoMentor om lækket, var det altså på grund af en kombination af sagens alvor (følsomheden af de lækkede data), den begrænsede adgang til de data, og det at lækket skyldtes en systemteknisk fejl, hvilket gjorde bevissikringen mere kompliceret.

Bevissikringen tog så igen længere tid, fordi politiet skulle inddrages.

»Efter Datatilsynets egen bevissikring i sagen har tilsynet en klar formodning om, at dele af it-sikkerheden i GoMentors system – navnlig i forhold til hvordan links anvendes til at få adgang til brugersiden – ikke lever op til kravet om at gennemføre passende sikkerhedsforanstaltninger. Datatilsynet kan imidlertid ikke på lovlig vis selv efterprøve sin formodning, hvorfor tilsynet telefonisk tager kontakt til Rigspolitiet,« skriver Datatilsynet.

Håndhæveren

Men hvorfor skulle beviser for GoMentor-lækket overhovedet indsamles?

I svaret til Retsudvalget skriver Datatilsynet, at én af tilsynets opgaver er at håndhæve reglerne i databeskyttelsesforordningen. Det kan de ikke, hvis de ikke har tilstrækkelig dokumentation for, at der foreligger en overtrædelse af reglerne, skriver de.

»Efter Datatilsynets opfattelse vil en løbende håndhævelse af overtrædelser af bl.a. databeskyttelsesforordningens artikel 32 om behandlingssikkerhed også generelt medvirke til en øget beskyttelse af de registrerede borgeres personoplysninger,« skriver de og fortsætter:

»Det er i den forbindelse Datatilsynets klare indtryk, at virksomheder og myndigheder gør mere ud af at passe ordentligt på borgernes personoplysninger, hvis de oplever, at reglerne bliver håndhævet.«

Se Datatilsynets tidslinje over deres behandling af GoMentor-sagen her

24. august 2018:
Klager orienterer pr. e-mail Datatilsynet om, at hun har kunnet tilgå andre personers personoplysninger, herunder deres korrespondance med mentorer, på www.gomentor.dk. Klager oplyser samtidig, at hun gerne er Datatilsynet behjælpelig med yderligere oplysninger, screenshots mv.

Artiklen fortsætter efter annoncen

29. august 2018:
En journalmedarbejder gennemgår klagers e-mail og opretter sagen i Datatilsynets sagsbehandlingssystem, hvorefter sagen kan fordeles til en sagsbehandler.

11. september 2018:
Datatilsynet kontakter klager telefonisk og beder hende fremsende det yderligere materiale, hun har til rådighed.

14. september 2018:
Klagers brev med yderligere materiale modtages i Datatilsynet, hvor det indscannes og akteres på sagen.

17. september 2018:
En IT-sikkerhedskonsulent i Datatilsynet gennemgår det modtagne materiale.

20. september 2018:
Datatilsynet iværksætter egen bevissikring i sagen. Bevissikringen pågår i perioden fra den 20. september til den 4. oktober 2018.

28. september 2018:
Klager henvender sig til Datatilsynet pr. e-mail og anmoder om en opdatering i sagen. Klager oplyser samtidig, at hun nu modtager nye e-mails fra GoMentor.

2. oktober 2018:
Datatilsynet besvarer klagers henvendelse og oplyser i den forbindelse, at tilsynet aktivt arbejder på sagen.

4. oktober 2018:
Datatilsynet afslutter sin egen bevissikring i sagen – det vil sige den bevissikring der kunne foretages med hjælp fra klager.

9. oktober 2018:
Efter Datatilsynets egen bevissikring i sagen har tilsynet en klar formodning om, at dele af it-sikkerheden i GoMentors system – navnlig i forhold til hvordan links anvendes til at få adgang til brugersiden – ikke lever op til kravet om at gennemføre passende sikkerhedsforanstaltninger. Datatilsynet kan imidlertid ikke på lovlig vis selv efterprøve sin formodning, hvorfor tilsynet telefonisk tager kontakt til Rigspolitiet (NC3). Under telefonsamtalen beder NC3 om, at tilsynet sender en e-mail med de konkrete links og en forklaring af, hvilken bevissikring Datatilsynet ønsker assistance til.

9. oktober 2018:
Datatilsynet sender efter aftale en e-mail, hvori tilsynet uddyber sine ønsker til yderligere bevissikring, til Rigspolitiets Databeskyttelsesenhed, som samme dag videresender e-mailen til NC3.

23. oktober 2018:
Datatilsynet kontakter NC3 pr. e-mail for at følge op på, om NC3 har haft mulighed for at vurdere, hvorvidt NC3 kan bistå med yderligere bevissikring i sagen. Datatilsynet kontakter samme dag NC3 telefonisk og får oplyst, at den ønskede bevissikring kræver en retskendelse, hvilket forudsætter at der foreligger en politianmeldelse.

23. oktober 2018:
Datatilsynet går i gang med at skrive en politianmeldelse, hvori der redegøres for de tekniske omstændigheder i GoMentors system, ligesom der udarbejdes en detaljeret beskrivelse af, hvordan tilsynet ønsker politiets yderligere bistand til bevissikring.

26. oktober 2018:
Datatilsynet sender politianmeldelsen af GoMentor til Københavns Politi med kopi til Rigspolitiets Databeskyttelsesenhed.

26. oktober 2018:
Rigspolitiets Databeskyttelsesenhed kontakter Datatilsynet telefonisk og oplyser, at sagen er »båret over til PD«. Rigspolitiet oplyser desuden, at politiets kommunikationsfolk har talt med DR, som oplyser, at de ikke agter at bringe historien, før der er bevissikret.

26. oktober 2018:
Datatilsynet bliver telefonisk kontaktet af Politiets Almene Efterforskningsenhed, som oplyser, at man forventer at foretage bevissikring i sagen hurtigst muligt – om muligt den 26. eller 27. oktober 2018.

5. november 2018:
Datatilsynet kontakter pr. e-mail og telefonisk Rigspolitiets Databeskyttelsesenhed for at spørge til status i forhold til bevissikringen.

7. november 2018:
Datatilsynet henvender sig pr. e-mail til Rigspolitiets Databeskyttelsesenhed og anmoder om en status i sagen. Rigspolitiet oversender tilsynets henvendelse til Københavns Politi.

14. november 2018:
Datatilsynet tager telefonisk kontakt til Københavns Politi og anmoder om at få en status i forhold til bevissikringen. Københavns Politi oplyser, at der fortsat arbejdes på sagen.

22. november 2018:
GoMentor anmoder – efter at sagen har været omtalt i 21 Søndag – Datatilsynet om aktindsigt i tilsynets klagesag. Datatilsynet kontakter i den forbindelse Københavns Politi for at høre, om der er noget der skal undtages fra aktindsigt af hensyn til politiets efterforskning.

23. november 2018:
Datatilsynet afviser GoMentors anmodning om aktindsigt med henvisning til forvaltningslovens § 11, stk. 1.

23. november 2018:
GoMentor anmelder sikkerhedsbruddet til Datatilsynet via blanketten på virk.dk.

30. november 2018:
Datatilsynet tager telefonisk kontakt til Københavns Politi og anmoder om at få en status i forhold til bevissikringen. Københavns Politi oplyser at der er foretaget bevissikring, og at politiet afventer at få tilsendt materialet fra Microsoft i USA.

3. december 2018:
Datatilsynet orienterer skriftligt GoMentor om status i sagen. Tilsynet oplyser samtidig, at tilsynet vil vende tilbage til GoMentor, så snart det bevissikrede materiale er modtaget fra politiet.

Du kan læse alle Datatilsynet og Justitsministeriets svar om GoMentor-sagen til Folketingets Retsudvalg her, her og her.

Emner
24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
24
Anne-Marie Krogsbøll
8. februar 2019 kl. 07:41

Hvordan er forløbet i Gomentor-sagen som beskrevet ovenfor foreneligt med denne artikel i Computerworld, hvor det oplyses af Datatilsynets tilsynschef, Jesper Husmer Vang, at der ikke er foretaget en eneste anmeldelse til politiet for overtrædelse af GDPR? ​https://www.computerworld.dk/art/246363/datatilsynet-har-endnu-ikke-politianmeldt-en-eneste-for-gdpr-brud#bCkIgcmUEZv3xk3u.99

Mht. gårdsdagens samråd (kan ses på link i kommentarer ovenfor) var det meget lidt oplysende (en særdeles kortfattet - nærmest mobset og helt indholdstom redegørelse fra Datatilsynet), og bestemt ikke noget tilløbsstykke for politikerne - der sad Karin Gaardsted og René Gade. Alle var enige om, at det ikke var nogen køn sag - selv justitsministeren, som vil tage initiativ til at bedre samarbejdet mellem instanserne - men som ikke har direkte instruktionsbeføjelse overfor Datatilsynet.

Der kom ikke noget nyt frem vedr. selve forløbet - bortset fra, at det blev fremstillet som om (og ikke modsagt af ministeren), at der ikke overhovedet var foretaget nogen bevissikring fra Datatilsynets side, ud over hvad man havde modtaget fra anmelderen. Ingen selvstændig efterforskning, hvis man skal tro Gaardsted. Der var ingen forklaring på den langsomme ekspeditionstid.

Ministeren ville ikke ind på, om der kunne være tale om ressourcemangel - men det kan Husmer Vangs udtalelser til Computerworld vel nok give mistanke om:

"Han peger på, at Datatilsynet har fem mand til at behandle de indløbne sager. "

Hvorfor kun 5? Hvad laver resten? For de har da flere ansatte? Men 5 lyder ikke af meget til alle de sager, som vælter ind.

På baggrund af de uldne udmeldinger fra ministeren, sad jeg tilbage med det indtryk, at han nok ikke havde lyst til at beskrive for åben skærm, at arbejdet med GDPR sejler og er havnet mellem en masse stole, som ikke kan finde ud af at samarbejde - eller som ikke tager opgaven helt alvorligt nok, når det drejer sig om særdeles følsomme data. Men det lød faktisk som om, han tog sagen alvorligt, og tager initiativer til at bedre samarbejdet (dvs. tvinger de pågældende til at sidde sammen og finde arbejdsgange og løsninger). Han ville også tage initiativ til, at Datatilsynet blev tilstrækkeligt klare over, at de faktisk har nogle lovgivnignsmæssige muligheder for at gribe mere kontant ind. Det lød til, at han mente, at de ikke var klare over det - lidt mærkeligt.

Men altså: Er Gomentor politianmeldt eller ej? Eller hvad mener Husmer Vang med sine udtalelser til Computerworld?

  • more_vert
    • insert_linkKopier link
21
Anne-Marie Krogsbøll
10. januar 2019 kl. 07:04

Sikkerhedshuller såsom GoMentor (hvor der er fejl i sikkerheden på en ellers legitim side) skal meldes til datatilsynet.

Tak for bud, Dennis Christensen. Men det kræver jo, at anmelder kan gennemskue, hvad der er tale om - og i GoMentor-sagen får jeg indtryk af, at det måske skulle være politiet fra start? Datatilsynet kommer i den sammenhæng til at virke som en forsinkelse i sagen? Og hvis Datatilsynet skal sikre "beviser", inden de kan gøre noget, så må det vel være ud fra en formodning om, at der kan være noget kriminelt - og så burde sagen vel som udgangspunkt være meldt til politiet?

Jeg er slet ikke tryg ved det system.

  • more_vert
    • insert_linkKopier link
20
Claus Winther
9. januar 2019 kl. 22:04

Hvis kommunen, regionen eller staten eksempelvis bevidst bryder loven (tilmed i ond tro, hvis de er blevet gjort opmærksomme på lovbruddet), så kan man enten vælge at bruge en masse tid og kræfter via Datatilsynet til at få dem til at rette ind - eller også kan man anlægge sag direkte, hvilket ganske vist også kræver tid og kræfter.

For kommunen, regionen eller staten er Datatilsynet en enorm fordel, idet de så slipper for nogen form for straf. Derefter kan de så frit fortsætte med samme lovbrud over for de resterende borgere.

Det er sikkert en rigtig go' forretning:https://politiken.dk/indland/art6931716/Danmarks-Statistik-s%C3%A6lger-data-for-millioner-%E2%80%93-ogs%C3%A5-til-omstridte-form%C3%A5l

  • more_vert
    • insert_linkKopier link
19
Dennis Christiansen
9. januar 2019 kl. 20:20

<a href="https://www.computerworld.dk/art/245979/politiet-aabner-nyt-cyber-cente…;
<p>Hvad anmelder man egentlig til politiet, og hvad anmelder man til Datatilsynet?

Nu har jeg ikke læst ovenstående artikel da den er bag paywall, men umiddelbart tænker jeg ikke at det er så svært.

Sikkerhedshuller såsom GoMentor (hvor der er fejl i sikkerheden på en ellers legitim side) skal meldes til datatilsynet.

It-kriminalitet (dette kan være alt fra hacker-angreb, identitetstyveri, hævnporno, whatever så længe der er tale om kriminalitet), skal meldes til politiet. Det kan selvfølgeligt ske at dette ikke er tilfældet, men det tænker jeg ville være den logiske skildring...

  • more_vert
    • insert_linkKopier link
17
Hans Nielsen
9. januar 2019 kl. 18:16

Oprette en ny bruger med et andet telefonnummer.

Du skal vel først være patient, så du vil starte med at få en henvisning fra din læge ?

Vil du ikke også forsøge dig fra en anden PC og via en andet netværksforbindelse, måske også med et andet OS. Det kan jo bare være nogle cookies der gør at du tilgår det samme ?

Har du også sikkert dig log, samt dit IP nummer. Samt videofilmet det hele.Incl vidner. Hvis du selv står i retten ude andet. Så kan en forsvare jo påstå at du måske bare har lavet det hele selv, fordi du er sur på firmaet. Eller ikke har fundet nok dokumentation, så dit job er i fare på grund af udulighed ?

  • more_vert
    • insert_linkKopier link
16
Jørgen Elgaard Larsen
9. januar 2019 kl. 14:06

Borgeren har tilsyneladende ret præcist angivet, hvad problemet var - nemlig at man kunne se andres oplysninger, hvis man tastede telefonnummer 00 00 00 00.

Hvis min nabo fortalte mig om sådan noget, ville min indskydelse være:

  1. Lige prøve at gå ind på hjemmesiden og taste 00 00 00 00.
  2. Konstatere, at ja, man kan se andres oplysninger.
  3. Starte en screen capture og gøre det samme igen.
  4. Oprette en ny bruger med et andet telefonnummer.
  5. Se, om man kan tilgå oplysninger fra den bruger alene ud fra telefonnummeret.
  6. Hvis ja, så starte endnu en screen capture og gøre det igen.

Det kunne sikkert tage op til en halv times tid, fordi jeg sikkert skulle bruge tid på at finde ud af at lave en screen capture.

Og der burde være beviser nok til, at politiet kunne få en dommerkendelse til at beslaglægge logs, kildekode m.m. fra serverne.

Jeg kunne så underrette firmaet officielt, hvorefter politiet kunne lave opklaringsarbejde ud fra det beslaglagte materiale.

Hvis både jeg og politiet virkelig sløvede den, kunne jeg underrette firmaet efter et par arbejdsdage.

Spørgsmålet er så: Mangler Datatilsynet og/eller politiet hjemmel, evner eller ressourcer til at følge denne opskrift?

  • more_vert
    • insert_linkKopier link
15
Anne-Marie Krogsbøll
9. januar 2019 kl. 13:29

Ok, tak for svar, Kenn Nielsen. Det tolker jeg som, at du også er forvirret...

  • more_vert
    • insert_linkKopier link
11
Anne-Marie Krogsbøll
9. januar 2019 kl. 12:07

Måske har du ret, Gert Madsen. Men i så fald peger det da også på, at sagen ikke er håndteret tilfredsstillende. Hvor det så præcist er, der skal sættes ind, hos politiet, i Datatilsnet, eller i samarbejdet mellem disse, det er svært at gennemskue, men noget skal gøres.

I øvrigt vil jeg gøre opmærksom på dette afsnit i ministerebesvarelsen:"Jeg har i denne sag i øvrigt noteret mig, at Datatilsynet i sit bidrag til besvarelse af spørgsmål nr. 227 (Alm. del) fra Folketingets Retsudvalg oplyser, at tilsynet løbende – i tæt samarbejde med politi og anklagemyndigheden – vil evaluere sin håndhævelse og de erfaringer, tilsynet gør sig i forbindelse hermed."https://www.ft.dk/samling/20181/almdel/reu/spm/226/svar/1544895/1995928.pdf

For mig lyder det som en indirekte indrømmelse af, at det bør kunne gøres bedre.

  • more_vert
    • insert_linkKopier link
10
Gert Madsen
9. januar 2019 kl. 11:57

Men jeg synes stadig, at det er mærkeligt, at Datatilsynet ikke som det første sender en anmeldelse - de burde vide, at politiet ikke kan hente disse beviser uden anmeldelse og dommerkendelse - burde de ikke vide det?

Denne lovgivning er stadig relativ ny. Hvis man ringer til Politiet og fortæller at nogen er ved at bryde ind i naboens hus, så forventer man heller ikke, at de bare sylter sagen til naboen er kommet hjem og har lavet en officiel anmeldelse. Jeg tror ikke på, at Politiet ikke kunne have gået videre med sagen. At de ikke ville, er en anden sag, som Datatilsynet så ikke havde forventet.

  • more_vert
    • insert_linkKopier link
8
Flemming Riis
9. januar 2019 kl. 11:00

I mine øjne er rigets digitale tilstand døgnbemanding værd. Ellers vil man vel som hacker sørge for at gå til angreb i weekenden? Så hvis der intet beredskab er i weekenden, så falder det i mine øjne ind under ressourcemangel.</p>
<p>

Nu er datatilsyntet jo ikke Incident Respons for hele danmark , så mangler de vel nogle hundrede mennesker

(Og jeg ved ikke om de er døgnbemandet , men der sikker på hvis det er vigtigt nok kan man finde dem)

  • more_vert
    • insert_linkKopier link
7
Anne-Marie Krogsbøll
9. januar 2019 kl. 10:38

Ja, enig, Kenn Nielsen. Politets ageren lyder meget mærkelig og set fra borgersunspunkt - skuffende. Men jeg synes stadig, at det er mærkeligt, at Datatilsynet ikke som det første sender en anmeldelse - de burde vide, at politiet ikke kan hente disse beviser uden anmeldelse og dommerkendelse - burde de ikke vide det?

Og jeg synes også stadig, at det er meget bekymrende, hvis det er et normalt billede, at der går næsten 1 1/2 måned fra en alvorlig sag anmeldes, til datatilsynet når til at konkludere, at der må en politianmeldelse til. Det lyder jo ud fra beskrivelsen som om, at Datatilsynets egen "efterforskning" mest begrænser sig til at læse anmeldelsen og klagers yderligere oplysninger og lidt efterprøvning af dette. Hvordan kan det tage 1 1/2 måned?

Og er løsningen ikke, at Datatilsynet selv får ret til at efterforske ordentligt - efter dommerkendelse, så snart man bliver klar over sagens alvor? For det lyder som om, der er en afgrund mellem Datatilsynet og politiet, som medfører stor forsinkelse.

Desuden:"22. november 2018: GoMentor anmoder – efter at sagen har været omtalt i 21 Søndag – Datatilsynet om aktindsigt i tilsynets klagesag. Datatilsynet kontakter i den forbindelse Københavns Politi for at høre, om der er noget der skal undtages fra aktindsigt af hensyn til politiets efterforskning."

Så faktisk har Datatilsynet - sådan som jeg læser dette - slet ikke taget stilling til hemmeligholdelse ift. GoMetor får dette tidspunkt. Burde det ellers ikke være en del af overvejelserne omkring, om man skal orientere firmaet? Hvis begrundelsen for ikke at gøre dette er efterforskningshensyn, så burde tilsynet vel uden videre kunne afvise GoMentors ønske? Det kan være, at der er noget, jeg overser her, men det lyder som om, der mangler procedurer for at håndtere sådanne sager - man skal først til at tænke, når man står kneedeep i sagen.

Jeg vil understrege, at jeg bestemt ikke mener, at tilsynet ikke gør sit bedste under svære forhold. Men når man ser på det samlede forløb her, så er det i mine øjne helt uacceptabelt - hvor præcist så fejlen ligger - hos politiet, tilsynet eller politikerne (ressourcemangel) - det må nogle journalister grave frem. Det er bare ikke overhovedet betryggende, hvis historien er repræsentativ for, hvordan vi kan forvente alvorlige læk/trusler håndteret.

Og så er jeg spændt på det med materiale fra Microsoft: Hvilket materiale? Og kan dansk politi få materiale udleveret fra Microsoft? Og betyder det, at Microsoft via GoMentor er kommet i besiddelse af meget private data fra danske patienter/brugere? (i så fald - er det her "krigsreglen" kunn have været rar?

  • more_vert
    • insert_linkKopier link
6
Anne-Marie Krogsbøll
9. januar 2019 kl. 10:17

Tak for svar, Hans Nielsen.

At det har taget tid at indsamle beviser, er ikke data tilsynes skyld. De skulle så have haft flere resurser og bemyntigelse til at indsamle beviser.

Det er jo sådan set min pointe. At der - hvis forløbet ikke skyldes direkte fejl i sagsbehandlingen - må være tale om ressourcemangel. Eller sløvhed hos politiet. Jeg forholder mig til det samlede forløb, og uanset hvor fejlen ligger (det må de slås indbyrdes om), så er det i mine øjne helt utilstrækkeligt.

Tak for svar, Flemming Riis.

24 er en fredag , så hvis den er kommer sent og det ikke er døgn/weekend bemanding

I mine øjne er rigets digitale tilstand døgnbemanding værd. Ellers vil man vel som hacker sørge for at gå til angreb i weekenden? Så hvis der intet beredskab er i weekenden, så falder det i mine øjne ind under ressourcemangel.

  • more_vert
    • insert_linkKopier link
5
Kenn Nielsen
9. januar 2019 kl. 10:14

9. oktober 2018:
Datatilsynet sender efter aftale en e-mail, hvori tilsynet uddyber sine ønsker til yderligere bevissikring, til Rigspolitiets Databeskyttelsesenhed, som samme dag videresender e-mailen til NC3.</p>
<p>EDIT : HERUNDER SKAL STÅ Treogtyvende Oktober (jeg ved ikke hvad der går galt) :
23. oktober 2018:
Datatilsynet kontakter NC3 pr. e-mail for at følge op på, om NC3 har haft mulighed for at vurdere, hvorvidt NC3 kan bistå med yderligere bevissikring i sagen. Datatilsynet kontakter samme dag NC3 telefonisk og får oplyst, at den ønskede bevissikring kræver en retskendelse, hvilket forudsætter at der foreligger en politianmeldelse."</p>
<p>Altså: Der går 14 dage, fra Datatilsynet henvender sig til NC3, før disse svarer tilbage, at det kræver dommerkendelse. Noget tyder på, at heller ikke politiet tager sagen alvorligt nok!

Det er faktisk værre end dét....

Det er ikke Datatilsynet der er slendrian hér.

Jeg mener der er forkasteligt ( måske endda symptomatisk) at NC3

  1. modtager en anmodning om hjælp
  2. konstaterer det kræver der foreligger en politianmeldelse
  3. 'pauser' behandlingen uden at underrette Datatilsynet
  4. pauseeffekten betyder åbenbart også at NC3 ignorerer mails om problemet
  5. Oplyser først om problemet da Datatilsynet ringer "in person"

Jeg synes det tegner et billede af "de anmelder nok, hvis det er vigtigt".

Var der ikke noget med en hackersag, hvor rigspolitiet først vågnede op efter svensk politi havde spurgt (telefonisk ?) om de slet var interesserede i den sag som de ( rigspolitiet) var blevet underrettet om 4 måneder tidligere ?

Det tyder på at Datatilsynet ikke ønskede at lade sagen falde i samme ugidelige sorte hul ?

K

  • more_vert
    • insert_linkKopier link
3
Hans Nielsen
9. januar 2019 kl. 09:31

Det ser ud til at de har har overholdt deres egen, synes fornuftige retningslinjer.

At det har taget tid at indsamle beviser, er ikke data tilsynes skyld. De skulle så have haft flere resurser og bemyntigelse til at indsamle beviser.

Hvis nogen mener at sagen er meget alvorligt, så der det jo så meget nødvendigt at der bliver indsamlet beviser, så sagen også kan holde i retten.

Det er jo først når firmaer finder ud af, at en evt pris for en dårlig sikkerhed er højere på grund af børder, at der afsættes resurser til sådan.

Eller skulle de bare have fået besked om fejlen, lavet en simple hurtigt retning. Også vil vi om et år eller to se en anden mere alvorligt fejl fra samme firma, fordi de ikke har taget sikkerheden alvorligt.

Se Link- Hvis Bahne efter første gang skulle betale nyt kort og en erstatning til kortholder på 300-500 for tidsforbrug og gener. Så er jeg sikkert på at fejlen ikke var sket igen. Enten var Bahne lukket, eller de have fået styr på sikkerheden.

https://www.version2.dk/artikel/hollandsk-sikkerhedsforsker-nyt-bahne-hack-sandsynligt-at-samme-saarbarhed-genbrugt-1087168

  • more_vert
    • insert_linkKopier link
2
Mogens Rasmussen
9. januar 2019 kl. 08:36

Totalt gag-gag!

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
9. januar 2019 kl. 08:11

.. er i mine øjne bevis for, at noget er gået helt galt i denne sag...

Sagen anmeldes d. 24. august: Hvorfor går der 5 dage fra klager henvender sig med et alvorligt læk, før der oprettes en sag? Hvorfor går der næsten 14 dage, før man beder om klagers yderligere materiale? Der er tale om en akut, alvorlig sag (her ved man jo faktisk ikke engang endnu, om der er tale om 5 eller 5000 ramte, for det har man jo ikke efterforsket endnu) - men der er åbenbart ikke noget, der hedder "red alert" hos Datatilsynet? Eller er det virkeligt det bedste, man kan gøre i alvorlige sager? I så fald er er skræmmende.

Der går 3 dage, før en sikkerhedsmedarbejder kigger på yderligere materiale, som klager har indsendt. Er det akut sagsbehandling i en alvorlig sag?

Der går yderligere 3 dage, før man går igang med bevissikring. Er det akut sagsbehandling?

Datatilsynet "efterforsker" i yderligere 14 dage, før man henvender sig til politiet. Er det akut sagsbehandling?

"4. oktober 2018: Datatilsynet afslutter sin egen bevissikring i sagen – det vil sige den bevissikring der kunne foretages med hjælp fra klager. 9. oktober 2018: Efter Datatilsynets egen bevissikring i sagen har tilsynet en klar formodning om, at dele af it-sikkerheden i GoMentors system – navnlig i forhold til hvordan links anvendes til at få adgang til brugersiden – ikke lever op til kravet om at gennemføre passende sikkerhedsforanstaltninger. Datatilsynet kan imidlertid ikke på lovlig vis selv efterprøve sin formodning, hvorfor tilsynet telefonisk tager kontakt til Rigspolitiet (NC3). Under telefonsamtalen beder NC3 om, at tilsynet sender en e-mail med de konkrete links og en forklaring af, hvilken bevissikring Datatilsynet ønsker assistance til. 9. oktober 2018: Datatilsynet sender efter aftale en e-mail, hvori tilsynet uddyber sine ønsker til yderligere bevissikring, til Rigspolitiets Databeskyttelsesenhed, som samme dag videresender e-mailen til NC3. 23. oktober 2018: Datatilsynet kontakter NC3 pr. e-mail for at følge op på, om NC3 har haft mulighed for at vurdere, hvorvidt NC3 kan bistå med yderligere bevissikring i sagen. Datatilsynet kontakter samme dag NC3 telefonisk og får oplyst, at den ønskede bevissikring kræver en retskendelse, hvilket forudsætter at der foreligger en politianmeldelse."

Altså: Der går 14 dage, fra Datatilsynet henvender sig til NC3, før disse svarer tilbage, at det kræver dommerkendelse. Noget tyder på, at heller ikke politiet tager sagen alvorligt nok!

Først 23. oktober går Datatilsynet - på opfordring fra Politiet - igang med at skrive en politianmeldelse!!!!!! Sig mig - har de aldrig haft en sådan sag før? Hvordan kan de ikke' vide, at det kræver politianmeldelse og dommerkendelse, før politiket kan gøre noget?

Og hvordan kan politiet være 14 dage om at give denne tilbagemelding?

Og fra d. 23. oktober frem til 30. november anmoder Datatilsynet mange gange politiet om status på sagen - det er tilsyneladende svært at få (ud fra det refererede). Først d. 30/11 er der angiveligt foretaget "bevissikring". Vi mangler så en beskrivelse af, hvad politiet faktisk har foretaget sig i al den tid. Hvordan er "bevissikring" foregået?

Nu var det "bare" (sådan forekommer det, at man har tænkt) 5 psykisk sårbare borgere - mon forløbet havde været det samme, hvis der havde været talt om 5 politikere i regeringspartierne? Eller vores valgoptællingssystem? Jeg tvivler (eller jeg håber det i det mindste ikke). ​

Nu får jeg nok høvl, men jeg synes stadig, at det beskrevne forløb stinker af enten forkert prioritering, manglende ressourcer eller udygtighed. Hvis det virkeligt er det bedste, vi kan forvente fra vore tilsynsførende myndigheder, selv i alvorlige situationer, så ser det sort ud.

  • more_vert
    • insert_linkKopier link