»Helt absurd«: Sag om sim-kort-sjusk afdækker telesektorens kludetæppe af myndigheder

Illustration: Lasse Gorm Jensen
Grænsen mellem telesektorens mange myndigheder er uklar nok til, at det kan skabe forvirring i både branchen og hos myndighederne selv, mener juraprofessor.

Først ville ingen myndigheder handle på baggrund af Version2 og Ingeniørens afsløringer af, at danske telebutikker uden at se ID udleverer nye sim-kort med adgang til abonnenters telefonnumre og dermed mailkonti, sociale medier osv.

Sidenhen har både Datatilsynet og Center for Cybersikkerhed indkaldt branchen til møder, mens Erhvervsstyrelsen har »gjort hele telebranchen klart, at denne type brud er omfattet af indberetningspligten, og Erhvervsstyrelsen følger udviklingen på området tæt«.

Læs også: Slut med lang snor til telebranchen: Datatilsynet går ind i sim-kort-sag

Men hvordan kan myndighedsansvaret i en så enkel sag være så uklart? Spørger man professor i blandt andet telejura ved Copenhagen Business School Søren Sandfeld Jakobsen, kan svaret ligge i, at myndighederne ikke nødvendigvis selv ved, hvem der skal sætte ind, når borgernes it-sikkerhed og privatliv sættes over styr af telebranchen.

»Noget kunne tyde på, at der heller ikke blandt myndighederne er 100 procent styr på, hvem der gør hvad,« vurderer han.

Og når myndighederne – og en førende forsker på området – ikke kan vide sig sikre, gør det naturligvis også området kompliceret for teleselskaberne.

»Det er naturligvis problematisk, hvis der sker noget alvorligt, at selskaberne ikke nødvendigvis ved, hvem de skal gå til. De skal virkelig tænke sig godt om for at gennemskue, hvem der er myndighed i hver enkelt situation,« påpeger Søren Sandfeld Jakobsen.

Læs også: Myndigheder afviser at granske teleselskaber trods simkort-afsløringer

Sim-swapping kræver tre indberetninger

Når et område som sim-swapping ikke blot falder under en enkelt myndighed, skyldes det de forskellige stykker lovgivning, der overlapper på området.

Dels er der flere myndigheder, der har sektoransvar på teleområdet. Det gælder Energistyrelsen og Erhvervsstyrelsen, men derudover kommer der andre stykker lovgivning i spil.

Et sikkerhedsproblem i telenettet falder eksempelvis under Net- og Informationssikkerhedsloven, i daglig tale NIS-loven. Den håndhæves af Forsvarets Efterretningstjenestes Center for Cybersikkerhed.

Samtidig ligger teleselskaberne inde med store mængder persondata, som kan blive kompromitteret ved eksempelvis sim-swapping. Det er Datatilsynets ansvar. Men derudover har også Erhvervsstyrelsen regler om persondata i telebranchen.

Læs også: CFCS indkalder telebranchen til »konstruktiv snak« efter sim-kort-afsløringer

»Falder den under både Erhvervsstyrelsens regler om persondatasikkerhed i telesektoren samtidig med NIS-loven og den almindelige persondatalovgivning, så er det alle tre myndigheders bord,« vurderer han med henvisning til Erhvervsstyrelsen, Center for Cybersikkerhed og Datatilsynet.

»Vi står i en situation, hvor en meget enkel og konkret sag kan aktivere tre forskellige regelsæt og tre forskellige tilsynsmyndigheder på samme tid,« siger Søren Sandfeld Jakobsen og understreger, at de tre regelsæt supplerer hinanden og derfor uden videre kan være gældende på samme tid.

Konkret betyder det, at et tilfælde af sim-swapping ifølge hans vurdering bør indberettes til alle tre myndigheder.

»Det lyder jo helt absurd, ikke?« spørger professoren retorisk.

Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID

Artiklen fortsætter under grafikken.

Illustration: Lasse Gorm Jensen

Én myndighed blev til fire

Forklaringen bag den opdeling findes i historikken på området, forklarer han. Oprindeligt var datasikkerhed i telesektoren Erhvervsstyrelsens ansvar, da styrelsen, siden IT-og Telestyrelsen blev nedlagt i 2011, har været den sektorspecifikke tilsynsmyndighed for telesektoren.

»Det gælder stadigvæk ifølge nogle bekendtgørelser. Men under Thorning-regeringen overførte man så det meste af området til Energistyrelsen, fordi der var tale om infrastruktur,« forklarer han.

Den nye myndighed i Energistyrelsen skulle være ansvarlig for alle typer infrastruktur, samtidig med, at Erhvervsstyrelsen beholdt en del af området.

»Netop persondatasikkerhed på teleområdet beholdt man i Erhvervsstyrelsen, mens resten mere eller mindre er overført til Energistyrelsen.«

Læs også: Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

I samme periode blev Center For Cybersikkerhed oprettet under forsvarsministeriet som en del af Forsvarets Efterretningstjeneste med informationssikkerhed som ansvarsområde.

»Man havde en idé om, at cyberinfrastruktur er – og bliver – så vigtigt, at det bør betragtes på linje med forsvar af andre slags,« konstaterer han.

Læs også: Leder: Stram op, teleselskaber og myndigheder!

Det betød, at Danmark nu havde tre myndigheder på teleområdet, hvoraf to havde ansvar for sikkerhed i den ene eller anden form. Det blev yderligere kompliceret af, at den europæiske datasikkerhedsforordning GDPR stødte til i 2018.

Herefter er det et krav, at persondatasikkerhed behandles af Datatilsynet, der er den generelle myndighed på dette område.

»Så har vi fire myndigheder. Og det barokke er, at den primære myndighed på området – nemlig Energistyrelsen – ikke længere har noget at skulle have sagt i den slags sager, selvom de er sektormyndighed.«

Læs også: Tele-svigtet fortsætter: Efter tre uger kan du stadig få andres sim-kort på dit glatte ansigt

Dobbelt-ansvar skulle være droppet

Når to forskellige myndigheder i dag har ansvar for persondataområdet i telesektoren, skyldes det ifølge Søren Sandfeld Jakobsen, at man så at sige har glemt at rydde op.

I 2013, da telesektorens persondataregler i Erhvervsstyrelsens regi blev til, var det nemlig tanken, at de skulle tages op til genovervejelse, efter GDPR var trådt i kraft i 2018, men det er aldrig sket.

»Men det lader til, at man har haft rigeligt med andre ting at tage sig til. Det er bare helt åbenlyst, at det jo ikke går, at man har tre regelsæt, tre underretningspligter og tre myndigheder på dette her område,« siger han med henvisning til, at der kan være tale om alvorlige hackerangreb.

Læs også: Kun teleselskabet kan redde dig fra simsvindel – men her er fire ting du selv kan gøre

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

»Falder den under både Erhvervsstyrelsens regler om persondatasikkerhed i telesektoren samtidig med NIS-loven og den almindelige persondatalovgivning, så er det alle tre myndigheders bord,« vurderer han med henvisning til Erhvervsstyrelsen, Center for Cybersikkerhed og Datatilsynet."

Det er ingen undskyldning for, at både Datatilsynet og Erhvervsstyrelsen valgte at bagatelisere sagen, og lade som om det var under deres område, men at de ikke mente, at sagen var nødvendig at følge op på.

Man burde jo, hvis man var i tvivl om ansvarsområdet, i stedet straks selv have indkaldt til møde med de mulige ansvarlige myndigheder, og så have sørget for at få det opklaret.

  • 7
  • 0
Knud Larsen

Som Anne -Marie siger det, så skulle de tage ansvar men gør det ikke.

Dette svarer helt til rodet på området Skat. Med de mange nye styrelser er det vigtigt at få afgjort: "Hvem er ansvarlig for hvad?".
En direkte henvendelse er ikke besvaret af hverken minister eller "Borger- og Retssikkerhedschefen". I stedet har Borger- og Retssikkerhedschefen sendt opgaven for besvarelse videre til en menig medarbejder i Skattestyrelsen. [man forstår de meniges frustration]

Det er tydeligt at borgene bliver kørt over af et udueligt system med ringe ansvars- følelse (det fremgår også tydeligt af Udbytte sagen).
I et retssamfund som nogen mener Danmark er, går dette ikke. Vi mangler i den grad en forfatningsdomstol med alt det rod.

  • 2
  • 1
Log ind eller Opret konto for at kommentere