Krifa troede, det var i overensstemmelse med persondataforordningen, at kodeordet til fagforeningens sikre mail-løsning var kundernes CPR-nummer.
Det var Datatilsynet ganske uenig i.
Det fremgår af denne afgørelse, der giver fagforeningen et rap over nallerne i form af både kritik og et påbud om at rette op på denne praksis.
»Som it-sikkerhedsmand gennem mange år synes jeg, man burde være gået bort fra at bruge CPR som kodeord for længe siden,« siger Allan Frank, der er it-sikkerhedsspecialist og jurist hos Datatilsynet.
Krifa imødekommer påbuddet ved helt at fjerne CPR som indlogningsmulighed. I stedet skal foreningens medlemmer fremover logge ind med engangskoder, der tilsendes over sms.
»Vi har risikovurderet det og mente, det var OK. Hvem får en mail, samtidig med at man kender CPR-nummeret? Det må vi så tage til efterretning nu og sige, at det ikke er nok, og vi fjerner muligheden for at logge ind med CPR hen over weekenden,« siger Hans Pedersen, der er databeskyttelsesofficer (DPO) hos Krifa.
Derudover arbejder Krifa på, at medlemmerne på sigt kan logge ind med NemID, oplyser han.
Sendte 1.544 ukrypterede mails med følsomme personoplysninger
Den kritiserede indlogningsmetode er ikke det eneste, Datatilsynet stejler over. Der er også sket en manuel fejl hos Krifa, der sendte 1.544 mails ud til medlemmerne.
Af mailsene fremgår det tydeligt, at modtageren er medlem af Krifa, og siden tilhørsforhold til fagforeninger er følsomme persondata, er det i strid med loven.
Derudover er der i løbet af de tre måneder fra januar til og med marts, Datatilsynet fokuserede på, blevet sendt fire mails med såkaldt opportunistisk Transport Layer Security(TLS).
Disse er ikke blevet meldt til Datatilsynet, hvilket er et kritikpunkt i sig selv.
Når de er sendt med 'opportunistisk' TLS, vil det dels sige, at der som udgangspunkt er kryptering på transportlaget.
Men det vil også sige, at der er en indbygget mulighed for, at kommunikationen undervejs risikerer at blive nedgraderet til ældre, mindre sikre versioner af TLS, ligesom krypteringen helt kan forsvinde, så beskeden sendes i klartekst over internettet.
Og at Krifa derfor ikke kunne garantere, at der var den fornødne TLS-sikring til stede, når medlemmerne modtog disse mails.
»Vi sender alle vores almindelige mails med opportunistisk TLS, og det betyder, at hvis man som modtager af en mail har en server, der ikke kan håndtere de nyeste grader af TLS 1.2, nedgraderes TLS til niveau 1.1 eller 1.0. Så længe de afsendte mails ikke indeholder følsomme eller fortrolige persondata, er det ligegyldigt,« siger Hans Pedersen.
Det gjorde de 1.544 mails dog.
Langsom sagsbehandling
Datatilsynet anmeldte besøget allerede før jul 2018. Den 9. april bankede tilsynet på Krifas dør, og herefter gik der en lang periode, hvor Hans Pedersen og hans kolleger blot gik og ventede.
»Jeg synes, der gik lang tid, før afgørelsen faldt. Man er jo som virksomhed spændt på, hvordan det gik, og vil gerne have afklaring,« siger Hans Pedersen.
Inden da havde Krifa ifølge Hans Pedersen brugt to mandeuger på at udfylde et omfattende spørgeskema forud for selve besøget.
»Det er sådan set OK, for jeg synes, det er godt, Datatilsynet er grundige, og det ikke bare er en overfladisk undersøgelse, når der føres tilsyn,« siger Hans Pedersen.
Datatilsyn: Ingen grund til bødestraf
Når Datatilsynet skal vurdere, om der skal uddeles en bøde, skeler det til artikel 83 i GDPR.
»I dette tilfælde har vi skønnet, det ikke var nødvendigt at give en bøde. Vores udgangspunkt er at få de dataansvarlige til at gøre noget ved brugerens datasikkerhed, og her spiller samarbejdsvillighed og indsigt i den risiko, man eksponerer de registrerede for, også ind,« siger Allan Frank til Version2.
Han fortæller også, at tilsynet hos Krifa havde flere positive sider.
»Der var også mange ting, Krifa havde tænkt over. De havde for eksempel lavet en risikovurdering. Det elsker jeg, og det udmærker dem i forhold til, hvad vi ellers ser generelt, når vi fører tilsyn,« siger Allan Frank, der understreger, at de færreste jokker i GDPR-spinaten med vilje.
»Langt de fleste af de dataansvarlige, vi har været i kontakt med, prøver at gøre deres bedste,« slutter specialisten.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
