Først ville ingen myndigheder handle på baggrund af Version2 og Ingeniørens afsløringer af, at danske telebutikker uden at se ID udleverer nye sim-kort med adgang til abonnenters telefonnumre og dermed mailkonti, sociale medier osv.
Sidenhen har både Datatilsynet og Center for Cybersikkerhed indkaldt branchen til møder, mens Erhvervsstyrelsen har »gjort hele telebranchen klart, at denne type brud er omfattet af indberetningspligten, og Erhvervsstyrelsen følger udviklingen på området tæt«.
Men hvordan kan myndighedsansvaret i en så enkel sag være så uklart? Spørger man professor i blandt andet telejura ved Copenhagen Business School Søren Sandfeld Jakobsen, kan svaret ligge i, at myndighederne ikke nødvendigvis selv ved, hvem der skal sætte ind, når borgernes it-sikkerhed og privatliv sættes over styr af telebranchen.
»Noget kunne tyde på, at der heller ikke blandt myndighederne er 100 procent styr på, hvem der gør hvad,« vurderer han.
Og når myndighederne – og en førende forsker på området – ikke kan vide sig sikre, gør det naturligvis også området kompliceret for teleselskaberne.
»Det er naturligvis problematisk, hvis der sker noget alvorligt, at selskaberne ikke nødvendigvis ved, hvem de skal gå til. De skal virkelig tænke sig godt om for at gennemskue, hvem der er myndighed i hver enkelt situation,« påpeger Søren Sandfeld Jakobsen.
Sim-swapping kræver tre indberetninger
Når et område som sim-swapping ikke blot falder under en enkelt myndighed, skyldes det de forskellige stykker lovgivning, der overlapper på området.
Dels er der flere myndigheder, der har sektoransvar på teleområdet. Det gælder Energistyrelsen og Erhvervsstyrelsen, men derudover kommer der andre stykker lovgivning i spil.
Et sikkerhedsproblem i telenettet falder eksempelvis under Net- og Informationssikkerhedsloven, i daglig tale NIS-loven. Den håndhæves af Forsvarets Efterretningstjenestes Center for Cybersikkerhed.
Samtidig ligger teleselskaberne inde med store mængder persondata, som kan blive kompromitteret ved eksempelvis sim-swapping. Det er Datatilsynets ansvar. Men derudover har også Erhvervsstyrelsen regler om persondata i telebranchen.
»Falder den under både Erhvervsstyrelsens regler om persondatasikkerhed i telesektoren samtidig med NIS-loven og den almindelige persondatalovgivning, så er det alle tre myndigheders bord,« vurderer han med henvisning til Erhvervsstyrelsen, Center for Cybersikkerhed og Datatilsynet.
»Vi står i en situation, hvor en meget enkel og konkret sag kan aktivere tre forskellige regelsæt og tre forskellige tilsynsmyndigheder på samme tid,« siger Søren Sandfeld Jakobsen og understreger, at de tre regelsæt supplerer hinanden og derfor uden videre kan være gældende på samme tid.
Konkret betyder det, at et tilfælde af sim-swapping ifølge hans vurdering bør indberettes til alle tre myndigheder.
»Det lyder jo helt absurd, ikke?« spørger professoren retorisk.
Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID
Artiklen fortsætter under grafikken.
Én myndighed blev til fire
Forklaringen bag den opdeling findes i historikken på området, forklarer han. Oprindeligt var datasikkerhed i telesektoren Erhvervsstyrelsens ansvar, da styrelsen, siden IT-og Telestyrelsen blev nedlagt i 2011, har været den sektorspecifikke tilsynsmyndighed for telesektoren.
»Det gælder stadigvæk ifølge nogle bekendtgørelser. Men under Thorning-regeringen overførte man så det meste af området til Energistyrelsen, fordi der var tale om infrastruktur,« forklarer han.
Den nye myndighed i Energistyrelsen skulle være ansvarlig for alle typer infrastruktur, samtidig med, at Erhvervsstyrelsen beholdt en del af området.
»Netop persondatasikkerhed på teleområdet beholdt man i Erhvervsstyrelsen, mens resten mere eller mindre er overført til Energistyrelsen.«
I samme periode blev Center For Cybersikkerhed oprettet under forsvarsministeriet som en del af Forsvarets Efterretningstjeneste med informationssikkerhed som ansvarsområde.
»Man havde en idé om, at cyberinfrastruktur er – og bliver – så vigtigt, at det bør betragtes på linje med forsvar af andre slags,« konstaterer han.
Det betød, at Danmark nu havde tre myndigheder på teleområdet, hvoraf to havde ansvar for sikkerhed i den ene eller anden form. Det blev yderligere kompliceret af, at den europæiske datasikkerhedsforordning GDPR stødte til i 2018.
Herefter er det et krav, at persondatasikkerhed behandles af Datatilsynet, der er den generelle myndighed på dette område.
»Så har vi fire myndigheder. Og det barokke er, at den primære myndighed på området – nemlig Energistyrelsen – ikke længere har noget at skulle have sagt i den slags sager, selvom de er sektormyndighed.«
Læs også: Tele-svigtet fortsætter: Efter tre uger kan du stadig få andres sim-kort på dit glatte ansigt
Dobbelt-ansvar skulle være droppet
Når to forskellige myndigheder i dag har ansvar for persondataområdet i telesektoren, skyldes det ifølge Søren Sandfeld Jakobsen, at man så at sige har glemt at rydde op.
I 2013, da telesektorens persondataregler i Erhvervsstyrelsens regi blev til, var det nemlig tanken, at de skulle tages op til genovervejelse, efter GDPR var trådt i kraft i 2018, men det er aldrig sket.
»Men det lader til, at man har haft rigeligt med andre ting at tage sig til. Det er bare helt åbenlyst, at det jo ikke går, at man har tre regelsæt, tre underretningspligter og tre myndigheder på dette her område,« siger han med henvisning til, at der kan være tale om alvorlige hackerangreb.
