Fagforening efter GDPR-brøler: Vi mente, det var OK

Illustration: N_Defender | Bigstock
Især 1.500 usikre mails og CPR-nummer som kodeord fik Datatilsynet til at udtale kritik.

Krifa troede, det var i overensstemmelse med persondataforordningen, at kodeordet til fagforeningens sikre mail-løsning var kundernes CPR-nummer.

Det var Datatilsynet ganske uenig i.

Det fremgår af denne afgørelse, der giver fagforeningen et rap over nallerne i form af både kritik og et påbud om at rette op på denne praksis.

Læs også: Stor fagforening og advokatfællesskab får kritik og påbud af Datatilsynet efter kontrolbesøg

»Som it-sikkerhedsmand gennem mange år synes jeg, man burde være gået bort fra at bruge CPR som kodeord for længe siden,« siger Allan Frank, der er it-sikkerhedsspecialist og jurist hos Datatilsynet.

Krifa imødekommer påbuddet ved helt at fjerne CPR som indlogningsmulighed. I stedet skal foreningens medlemmer fremover logge ind med engangskoder, der tilsendes over sms.

»Vi har risikovurderet det og mente, det var OK. Hvem får en mail, samtidig med at man kender CPR-nummeret? Det må vi så tage til efterretning nu og sige, at det ikke er nok, og vi fjerner muligheden for at logge ind med CPR hen over weekenden,« siger Hans Pedersen, der er databeskyttelsesofficer (DPO) hos Krifa.

Derudover arbejder Krifa på, at medlemmerne på sigt kan logge ind med NemID, oplyser han.

Sendte 1.544 ukrypterede mails med følsomme personoplysninger

Den kritiserede indlogningsmetode er ikke det eneste, Datatilsynet stejler over. Der er også sket en manuel fejl hos Krifa, der sendte 1.544 mails ud til medlemmerne.

Af mailsene fremgår det tydeligt, at modtageren er medlem af Krifa, og siden tilhørsforhold til fagforeninger er følsomme persondata, er det i strid med loven.

Læs også: Gitlab laver drastisk U-vending: Vil alligevel ikke starte omfattende indsamling af brugerdata

Derudover er der i løbet af de tre måneder fra januar til og med marts, Datatilsynet fokuserede på, blevet sendt fire mails med såkaldt opportunistisk Transport Layer Security(TLS).

Disse er ikke blevet meldt til Datatilsynet, hvilket er et kritikpunkt i sig selv.

Når de er sendt med 'opportunistisk' TLS, vil det dels sige, at der som udgangspunkt er kryptering på transportlaget.

Men det vil også sige, at der er en indbygget mulighed for, at kommunikationen undervejs risikerer at blive nedgraderet til ældre, mindre sikre versioner af TLS, ligesom krypteringen helt kan forsvinde, så beskeden sendes i klartekst over internettet.

Og at Krifa derfor ikke kunne garantere, at der var den fornødne TLS-sikring til stede, når medlemmerne modtog disse mails.

Læs også: Datalæk på dansk sikkerhedsmesse: App afslørede deltageres telefonnumre og mailadresser

»Vi sender alle vores almindelige mails med opportunistisk TLS, og det betyder, at hvis man som modtager af en mail har en server, der ikke kan håndtere de nyeste grader af TLS 1.2, nedgraderes TLS til niveau 1.1 eller 1.0. Så længe de afsendte mails ikke indeholder følsomme eller fortrolige persondata, er det ligegyldigt,« siger Hans Pedersen.

Det gjorde de 1.544 mails dog.

Langsom sagsbehandling

Datatilsynet anmeldte besøget allerede før jul 2018. Den 9. april bankede tilsynet på Krifas dør, og herefter gik der en lang periode, hvor Hans Pedersen og hans kolleger blot gik og ventede.

»Jeg synes, der gik lang tid, før afgørelsen faldt. Man er jo som virksomhed spændt på, hvordan det gik, og vil gerne have afklaring,« siger Hans Pedersen.

Inden da havde Krifa ifølge Hans Pedersen brugt to mandeuger på at udfylde et omfattende spørgeskema forud for selve besøget.

»Det er sådan set OK, for jeg synes, det er godt, Datatilsynet er grundige, og det ikke bare er en overfladisk undersøgelse, når der føres tilsyn,« siger Hans Pedersen.

Datatilsyn: Ingen grund til bødestraf

Når Datatilsynet skal vurdere, om der skal uddeles en bøde, skeler det til artikel 83 i GDPR.

»I dette tilfælde har vi skønnet, det ikke var nødvendigt at give en bøde. Vores udgangspunkt er at få de dataansvarlige til at gøre noget ved brugerens datasikkerhed, og her spiller samarbejdsvillighed og indsigt i den risiko, man eksponerer de registrerede for, også ind,« siger Allan Frank til Version2.

Han fortæller også, at tilsynet hos Krifa havde flere positive sider.

Læs også: Gentagne persondata-svipsere: Arrangør af it-konference advaret om samme læk for to år siden

»Der var også mange ting, Krifa havde tænkt over. De havde for eksempel lavet en risikovurdering. Det elsker jeg, og det udmærker dem i forhold til, hvad vi ellers ser generelt, når vi fører tilsyn,« siger Allan Frank, der understreger, at de færreste jokker i GDPR-spinaten med vilje.

»Langt de fleste af de dataansvarlige, vi har været i kontakt med, prøver at gøre deres bedste,« slutter specialisten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

Når Datatilsynets tilgang er som den er, så vil mange "klienterne" have en tilgang, der går på at "Vi gør ikke noget før Datatilsynet retter deres kritik, og så vil vi samarbejdsvilligt gøre så lidt så muligt".

Med standardbøder, ville Datatilsynet kunne opnå at de fleste vil have gjort sig umage med at efterleve de mest banale regler.

  • 8
  • 0
Henrik Kramshøj Blogger

Men det vil også sige, at der er en indbygget mulighed for, at kommunikationen undervejs risikerer at blive nedgraderet til ældre, mindre sikre versioner af TLS.

Faktisk kan det ende med at nedgradere helt til clear text!

Det burde måske præciseres i sådan en artikel.

Så det er 2019, slå strict/enforced TLS til, har selv gjort det og se hvad One.com har gang i! Det er tid til at slå cleartext aflevering helt fra!

  • 9
  • 0
Benjamin Balder

Krifa troede, det var i overensstemmelse med persondataforordningen, at kodeordet til fagforeningens sikre mail-løsning var kundernes CPR-nummer.

Nok nærmere: Krifa forsøgte at spare penge på support, sikre løsninger til nulstilling af adgangskoder, 2-faktor autentifikation og den slags besværligt pjat.

  • 5
  • 0
Lars Christensen-b

I stedet skal foreningens medlemmer fremover logge ind med engangskoder, der tilsendes over sms

Så man går fra læk af CPR til mulighed for sim-swap...

Som tilsynsynsmyndighed kan jeg godt forstå man bliver glad, når der ikke er noget at komme efter. Men noget så fundementalt som en risikovurdering i forbindelse med overholdelse af GDPR, er måske i overkanten at juble over..

Allan Frank, der er it-sikkerhedsspecialist og jurist hos Datatilsynet; Han fortæller også, at tilsynet hos Krifa havde flere positive sider.
Der var også mange ting, Krifa havde tænkt over. De havde for eksempel lavet en risikovurdering. Det elsker jeg, og det udmærker dem i forhold til, hvad vi ellers ser generelt, når vi fører tilsyn,« siger Allan Frank, der understreger, at de færreste jokker i GDPR-spinaten med vilje

  • 2
  • 0
Lars Christensen

Måske det var på tide med et retskrav til kvaliteten af uddannelsen til DPO? Samt selvfølgelig en smule højere kvalitetskrav fra tilsynet!

Hvem kunne forestille sig, at en politimand ville juble over "en spritbilist med tung speederfod og manglende respekt for alle andre end sig selv" med begrundelsen "bilisten har jo kørekort" så er alting forladt!

Det er faktisk lidt tragisk, fordi en highclass DPO uddannelse fra f.eks. TI nemt tager 6-12 måneder (incl. både fortolkning af GDPR, implementering samt efterfølgende certificering) og koster spidsen af en jetjager - hvorimod de lousy kurser tager 3 dage og koster lidt, men giver stadig ret til at kalde sig DPO

  • 2
  • 0
Jan Heisterberg

Krifa troede, det var i overensstemmelse med persondataforordningen, at kodeordet til fagforeningens sikre mail-løsning var kundernes CPR-nummer.

Undskyld er det her 2019 eller 1919 eller 1969 ?

Jeg tror aldrig jeg har hørt noget så utidssvarende eller åbenlyst dumt.

  • 3
  • 0
Log ind eller Opret konto for at kommentere