Forsvarets Efterretningstjeneste vil have adgang til dine private sundhedsdata

Illustration: center for cybersikkerhed
I en rapport til Folketinget bliver det tydeliggjort, at Center for Cybersikkerhed ønsker flere beføjelser i kampen mod it-kriminelle.

Center for Cybersikkerhed, der ligger under Forsvarets Efterretningstjeneste, vil muligvis kunne få adgang til alt lige fra dine patientjournaler til dine recepter, vurderer flere eksperter overfor Berlingske Business.

Vurderingerne kommer på baggrund af en rapport, forsvarsminister Claus Hjort Frederiksen (V) afleverede til Folketinget 30. juni, hvori det fremgår, at »loven på en række områder begrænser CFCS' muligheder for at yde en optimal indsats«.

Spørgsmålet er nu om, der derfor er behov for en lovændring.

Ifølge rapporten er der en stigende risiko for angreb, og der ønskes derfor flere muligheder for efterretningstjenesten til at gribe ind overfor it-kriminelle.

Læs også: Tilsyn: CFCS videregav personoplysninger fra aflytning i 62 sager i 2016

Peter Kruse fra CSIS har kigget rapporten igennem og ikke begejstret.

»Det får hårene til at rejse sig i nakken på mig. Hvis alt det her bliver til virkelighed, ligner det totalitær overvågning.«

Bekymrende udvikling

»Centeret vil kunne få adgang til folks private data, blandt andet deres sundhedsdata,« siger Peter Kruse til Berlingske.

Efterretningstjenesten ønsker ikke blot at få mulighed for at modtage data, men snarere at få adgang til at hente dem selv. Noget af det data kunne være fra systemerne, de selv leverer til bl.a. Region Hovedstaden og Folketinget, hvor de vil kunne få lettere adgang.

Læs også: Voksende hacker-trussel mod Danmark

Formand for IT-Politisk Forening Jesper Lund er heller ikke glad for rapporten.

»Det er bekymrende, at Center for Cybersikkerhed har ønsker, som indebærer, at Center for Cybersikkerhed vil få adgang til langt flere oplysninger om danskernes privatliv«, siger han til Ritzau.

Søren Debois fra ITU mener dog, at det på den ene side godt kan give mening, at Center for Cybersikkerhed ønsker udvidede beføjelser, men tilføjer:

»På den anden side kunne man godt ønske sig en lidt mere fintmasket bagstopper til at forhindre, at informationerne, de opdager i den forbindelse, ikke kommer videre til andre steder i FE eller andre steder i det hele taget«, siger han til Ritzau.

Læs også: Millioner af computere verden over eksponeres af usikre telnet-forbindelser

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Der er ingen tvivl om at Danmark har brug for en efterretningstjeneste der er eksperter i elektronisk aflytning og analyse i kommunikation.

Der er heller ingen tvivl om at det ikke giver mening at hver eneste offentlige myndighed skal være eksperter i at beskytte IT systemer. Ej heller er der tvivl om at for at beskytte et givent system, så kræves der at nogle af "beskytterne" har fuld adgang til systemet.

Men at forestille sig at det skulle være den samme organisation som spionerer elektronisk som også skal beskytte elektroniske offentlige systemer er skræmmende.

Der bør sidde en chef for spionerne, hvis eneste tanke er (indenfor loven) at spionere så meget og så målrettet som muligt. På samme måde bør der sidde en chef for "beskytterne" hvis eneste tanke er at hæve sikkerheden så højt som det er praktisk muligt (under hensyntagen til de almindelige brugere).

Disse to roller er modstridende og kan derfor ikke varetages af samme person. Samtidigt så bekymrer det mig der kun er en "beskytter" fordi det giver en hidtil uset koncentration af sensitiv viden. Jeg så helst at man lavede en central "tools & viden" beskytter og så i øvrigt decentraliserede den operationelle "beskytter" organisation. Det kunne være at hvert funktionsområde skulle have sådan en operationel enhed eller at hver region skulle have samme.

Malte Christensen

Hvis forslaget følges af en mærkbar sanktion overfor læk, fx. 100 års fængsel uden mulighed for prøveløsladelse. Og sanktionen skal foregå fra forbryderen og opefter.

Ikke noget af det dér med, at det offentlige kan blamere sig så meget de vil uden konsekvenser.

Jim Laursen

Min første tanke var at de er helt bevidste om at en sådan lovgivning ikke kan komme igennem, til gengæld har de indføjet andre urovækkende ting, som de heller ikke vil kunne få igennem.

Nu kommer der en langvarig debat, mestendels omhandlende sundhedsdata, hvorefter de på et tidspunkt afskriver den del af loven, som giver dem fri adgang til sundhedsdata. Til gengæld får de alle de andre kontroversielle ting gennemført via det reviderede lovforslag.

Desværre besidder jeg ikke lovlæsnings evnerne til at kunne vurdere alt det i loven, som ikke handler om sundhedsdata. Nogen herinde, som evner det og har tiden og lysten til det?

Mogens Bluhme

Det virker hul i hovedet at placere Center for Cyber Security under en efterretningstjeneste. CFCS bør beskytte danske organisationer mod cyberspionage, herunder tilskynde stærk kryptering. En efterretningstjeneste stræber efter det modsatte - det er der ikke noget fordækt i - det er politikerne, som skal finde balancen. Datatyveri fra offentlige og private organisationer er det værste problem. APT-angreb er meget mere alvorlige end DOS-angreb, herunder crypto-ransomware, som stort set ikke er mere end irritation og chikane men også et væsentligt større samfundsproblem end den overdrevne terrorfrygt/hysteri.

CFCS har nu afsløret sig selv som en dækorganisation for Forsvarets efterretningtjeneste, der vil det modsatte af at beskytte, nemlig spionere, endda mod landets egne borgere.

John Foley

Center for Cybersikkerhed (CFCS) er allerede fra starten i 2011 fejlanbragt under FE. FE udveksler hæmningsløst allerede oplysninger om danske borgere til andre landes efterretningstjenester - såkaldte partnere - ligesom man i gamle dage udvekslede glansbilleder.
Oplysninger og informationer om danske borgere bruges som en "handelsvare" efter konceptet "noget for noget" og her ser man ikke på beskyttelse af befolkningen, men alene på værdien af oplysninger, der kan bruges efterretningstjenesterne imellem. Og ikke altid til gavn for landets sikkerhed.
De nye tiltag, der giver yderligere beføjelser til FE og CFCS er et bevis på, at vi nu for alvor er ved at overskride grænsen og i endnu større grad bliver et totalitært overvågningssamfund. Den grænse er i øvrigt for længe siden overskredet med de beføjelser FE og CFCS allerede har fået gennemført ved politikere, der intet har fattet eller forstået omkring de love, de har allerede har vedtaget. "Gud bevare Danmark", for der er ingen andre der gør det.

Søren Pilgård

Det er jo klart for enhver at hvis du har astma så er eller bliver du nok terrorist, hvis du har en dårlig ryg så må du være hacker og hvis du har influenza så er du til fare for hele samfundet!

Jeg har svært ved at se hvad CFCS skal med alt den information. En ting er at det måske kunne have en relevans i en efterfølgende efterforskning, men der burde det jo være op til en dommerkendelse. Men jeg kan bestemt ikke se hvorfor de skal have lov til at snage hvor de vil. Man mistænkeliggør jo alle danskere der nogensinde har været til lægen.

Michael Aggerholm

Vi har brug for at data ikke ligger centralt længere. Det er for let for alle, både myndigheder og terrorister, at skaffe adgang til dem.

Hvis jeg havde en privat nøgle og mine sundhedsdata lå i en blockchain, så ville jeg selv kunne bestemme hvem der skulle have adgang til dem. Det bude kunne laves med Ethereum.

Og ift selve nettet så bør man kigge på teknologier som LoRaWAN og lignende, og prøve at gøre sig mere uafhængig af etablerede udbydere. Igen - ikke flere centrale løsninger.

Anne-Marie Krogsbøll

...om man også lovet EMA og medicinalindustrien adgang til vores sundhedsdata som led i charmeoffensiven for at få lokket EMA til Danmark? Man har i hvert fald reklameret med vores fantastiske og altomfattende registrering af vore private sundhedsoplysninger i Danmark, og der ser jo ikke ud til at være megen respekt omkring privatlivets grænser.

Og hvad med alle de data, som er indsamlet til Riotilroskilde-projektet - de må da om muligt være endnu mere relevante for FE (det er svært at se, at sundhedsoplysningerne er det), så hvad stopper datarøverne på borgen i at inddrage dem også - i terrorbekæmpelsens glade navn?

Hvis ikke dette forslag falder, må det konkluderes, at vi for længst er røget ud over kanten til et totalitært samfund - lige så stille, uden at vi rigtigt har opdaget det.

Michael Cederberg

Hvis jeg havde en privat nøgle og mine sundhedsdata lå i en blockchain, så ville jeg selv kunne bestemme hvem der skulle have adgang til dem. Det bude kunne laves med Ethereum.

Hvilken fordel er der ved at det ligger i en blockchain? Handler det ikke bare om at du gerne vil have dine sundhedsdata lagret krypteret?

I praksis fungerer det ikke. Hospitaler og praktiserende læger har brug for at kommunikere med andre og på den måde give andre adgang til dine data. Lynhurtigt vil nøglen blive delt.

Hvis man i stedet lavede et audittrail sådan at du kunne se hvem der havde haft adgang til data, så kan du råbe op hvis der er problemer. Dette vil naturligvis ikke løse problemer omkring hacking men det gør din kryptering heller ikke hvis nøglen også gemmes i et system i nærheden (for at din læge kan tilgå journalen selvom du ikke er tilstede).

...om man også lovet EMA og medicinalindustrien adgang til vores sundhedsdata som led i charmeoffensiven for at få lokket EMA til Danmark?

Jeg har svært ved at se det have nogen betydning her. De vil allerede kunne få fat i anonymiseret data og jeg kan ikke se de har brug for mere (eller skulle ønske mere).

Michael Cederberg

I så fald er der jo ikke megen mening i at reklamere med vores fantastiske registrering ift. placeringen af EMA?

Nu gider jeg ikke diskutere EMA, men selvfølgeligt er det vigtigt at registrere hændelser hvis man vil bedrive forskning indenfor området. Og jo mere detaljeret hændelserne er registreret, jo mere værdifulde er de. Men det er ikke det samme som at brugere af data får data i en form som er personhenførbar eller at de modtager alt det registrerede.

Hvis jeg bedrev forskning så ville jeg ud fra et nysgerrigheds synspunkt selvfølgeligt gerne have så meget data som muligt. Men når man ser hvad der er af krav for at passe på data - specielt når GDPR træder i kraft - så ville jeg betakke mig.

Som medicinal virksomhed eller forsker udenfor Danmark, så ville jeg være bekymret for mit rygte såfremt data betroet mig blev lækket. Danske universiteter slipper nok noget nemmere igennem mediemøllen hvis det sker.

Anne-Marie Krogsbøll

Fra Danmarks ansøgning om at få EMA:
"Through the common EU pharmacovigilance database, Denmark has been able to share its long-term experience with the rest of EU.
Furthermore, the social security number assigned to every Danish citizen at birth provides a unique resource for world-class Pharma coepidemiological research using data linkage between healthcare databases."

http://emacph.eu/Danish-offer-for-EMA.pdf

FE-historien er - med mindre forslaget bliver hældt blankt ned ad bordet (det kan vi jo håbe) - symptomatisk for den manglende respekt for borgernes privatliv. Der er andre prioriteringer, der vejer tungere. Og det kan man vel så forvente også gør sig gældende andre steder i det offentlige system.

Michael Cederberg

Furthermore, the social security number assigned to every Danish citizen at birth provides a unique resource for world-class Pharma coepidemiological research using data linkage between healthcare databases.

Det er bare ikke det samme som at man udleverer CPR nummeret sammen med data. Man kunne jo lade DS binde data sammen og så udlevere data uden CPR. Alt efter hvor bredt datasættet er, kan man sikre at data ikke kan henføres til enkeltpersoner (hvis man tænker sig om).

(og hermed slut fra mig om EMA og sundhed i denne omgang)

Anne-Marie Krogsbøll

Det er bare ikke det samme som at man udleverer CPR nummeret sammen med data


Nej, det har du ret i - man kan vælge at lade være - ligesom man kan lade vælge at lade være med at lade FE få adgang til sundhedsdata. Så må vi se, om man så faktisk vælger at lade være (og om vi overhovedet får det at vide).

"Hvert eneste år foretager Sundhedsdatastyrelsen (SDS) mange hundrede udleveringer af danskernes sundhedsdata. Udleveringerne kan indeholde sundhedsoplysninger og CPR-nummer på alle danskere. Det er også muligt at udlevere sundhedsdata på denne måde til medicinalindustrien."
http://denoffentlige.dk/tilladelsen-er-givet-staten-kan-samle-dine-priva...

Hvis man går ind under "Leverede sager" på nedenstående side, kan man se en samlet oversigt over, hvilke formål Sundhedsdatastyrelsen har udleveret vore sundhedsdata til de seneste par år. Bl.a. DLI Market Intelligences ApS (lobbyorganisation for medicinalindustrien https://www.dli-mi.dk/Sider/default.aspx . )

Institute of Applied Economics and Health Research ApS (ApEHR) har ligeledes modtaget sundhedsdata fra SDS. Eftersom det er et ApS, går jeg ud fra, at det er et privat firma? og eftersom disse udleveringer indbefatter cpr-registret, går jeg ud fra, at cpr-nummer er fulgt med (kan tage fejl)?

Vi er reducerede til undersåtter for magthavere og økonomiske interesser. Begrundelsen fra FE holder ikke en meter. "»loven på en række områder begrænser CFCS' muligheder for at yde en optimal indsats«."

Ja - det er jo hele meningen med loven, at den skal sætte grænser. Alternativet er jo, at FE får ubegrænset adgang til at beskytte os - hvilket ikke vil være at skelne fra et komplet totalitært samfund. For hvor går grænsen i så fald for, hvad de skal gribe til af midler?

Med mindre man går ind for ubegrænset magt og midler til FE og regeringen, så skal grænsen jo være et sted. Og indtil nu har privatlivsgrænsen bl.a. beskyttet sundhedsdata i sådanne sammenhænge. At argumentere for, at loven ikke må begrænse indsatsen, er at argumentere for et totalitært samfund. Hvor er det skræmmende, at vi er nået dertil, at den slags kan siges højt i det offentlige rum, uden at det fremkalder ramaskrig fra samtlige folketingsmedlemmer.

Jesper Frimann

Først et STORT tak til MLG Memer, for link til baggrunds informationen.

Det her er jo bare endnu et eksempel på, hvordan politikerne og embedsværket kager rund i det, når det kommer til IT.

Man har et helt validt og vigtigt issue. Nemlig at man ønsker, at forsvare de Danske offentlige systemer mod misbrug og hacking fra både kriminelle og fremmede magter.
Problemet er bare at man har lagt ekspertisen og de 'statslige' services for dette i FE.
Det var der mange fagfolk (både juridiske og IT) da man gjorde det, at det nok var en knap så smart en ide. Det viser sig nu at disse folk havde ret.

FE mener ikke at de kan ikke hjælpe offentlige myndigheder ordenligt med at lave IT-sikkerhed uden potentielt at skulle rode i person data. Det er jo en helt valid problem stilling, og det skal de nok have ret i. Og fedt at de gør opmærksom på problemet +1 i streetcred til dem for det.

Problemet som også beskrives minder rigtig meget om det problem, som det offentlige har når de får support fra f.eks. private eksterne leverandører, som f.eks. kan sidde i andre lande, også uden for EU.

Problemet løses IMHO ikke ved at give eller nægte at give CFCS de ting de mener de har brug for. Problemet er at hele CFCS ligger i FE (og så at det offentlige ikke kan finde ud af sådan noget som virtuelle/matrix organisationer).

Men problemet er jo også, at CFCS ikke kan lave deres virke til fuld på f.eks. cloud tjenester, eller andre shared services. For slet ikke at nævne kryptering.

Man burde have et offentligt nationalt CFCS forankret i en IT-styrelse, ud over dette har man så den militære del ligger under FE. Organisatoriske enheder der er store nok har så også en sikkerheds afdeling, for det er vigtigt at få en ordentlig sikkerhedskultur ud så langt som muligt. Og så skal der laves et ordentligt sikkerhedsregime.

Igen så sidder vi med en IT-faglig (og juridisk i dette tilfælde) kattepine fordi man ikke fra Politisk og embedsmands side tager fagligheden i det man beskæftiger sig med alvorlig nok. Det ender op med noget makværk hver gang...

// Jesper

Peter Lundtofte

CFCS har nu afsløret sig selv som en dækorganisation for Forsvarets efterretningtjeneste, der vil det modsatte af at beskytte, nemlig spionere, endda mod landets egne borgere.

Så man kan altså ikke beskytte A, ved at spionere mod B? Interessant tanke du fremlægger. Jeg tænker omvendt, at man er nødt til at kunne indhente oplysninger om kriminelle eller folk under mistanke, NETOP for at beskytte landets borgere - igennem at forebygge og opklare.

Generelt er sikringen af vores demokratiske rettigheder desværre modsatrettede. Myndigheder har ansvaret for at sikre at vi kan leve trygt og sikkert, men hvordan kan myndighederne det, hvis ikke de har de rigtige værktøjer til at forebygge og/eller retsforfølge de, som ikke følger de demokratiske spilleregler? Eksempler som kryptering, som er super godt når det handler om at beskytte lovlydige borgere, men skidt når det forhindrer opklaringen af kriminalitet. Hvordan bibeholder man det gode, samtidig med at man bekæmper det onde?

Derfor kan du ikke fremstille CFCS så unuanceret som du gør i dit indlæg. Jeg er ikke afvisende overfor at CFCS kunne have været placeret andetsteds, men så mister de jo muligheden for at anvende de samlede værktøjer og muligheder.

Peter Lundtofte
Louise Klint

En tilsynsrapport viste i sidste måned at 12 % af Forsvarets Efterretningstjenestes (FE) søgninger på personer i Danmark i 2016 var ulovlige og udført uden retskendelse.

https://www.version2.dk/artikel/forsvarets-efterretningstjeneste-soegte-...

Lovovertrædelser sanktioneres normalt restriktivt. Med RESTRIKTIONER.
Det er helt gængs praksis.
Hvorfor er det da at FE (CFCS) skal have det modsatte ‐ ØGEDE BEFØJELSER?
Det forstår jeg ikke.

Er alle ikke lige for loven?

Peter Lundtofte

Hvorfor er det da at FE (CFCS) skal have det modsatte ‐ ØGEDE BEFØJELSER?
Det forstår jeg ikke.

Måske fordi at de løser en samfundsvigtig (nødvendig) opgave? Jeg er i hvert fald sikker på, at de ikke er opfundet bare for at genere danskerne, og at de udfører en opgave vi ikke ville være foruden. Men det er klassisk dansk - vi brokker os når myndighederne laver noget, men også når de ikke laver noget.

Når det er sagt, bør der altid indhentes en kendelse.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize