IT-Branchen rystet over GoMentor-sagen: »Datatilsynet har fuldstændigt misforstået deres vigtigste rolle«

29. november 2018 kl. 14:305
IT-Branchen rystet over GoMentor-sagen: »Datatilsynet har fuldstændigt misforstået deres vigtigste rolle«
Illustration: leaw197340/Bigstock.
Hurtigst muligt skal systemejer eller it-leverandør varskoes, når man bliver opmærksom på fejl og sikkerhedsbrister, lyder det fra IT-Branchen efter at Version2 har fortalt om månedsvis nøl i Datatilsynet efter alvorligt databrud.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

IT-Branchen er rystet over Version2s artikel her til morgen, hvor vi fortæller at Datatilsynet i månedsvis undlod at advare terapiportalen GoMentor om en fejl i deres system. Systemfejlen blotlagde dybt private beskrivelser af flere brugeres psykiske problemer.

Først efter at tilsynet i den lange periode havde efterforsket sårbarheden, fik GoMentor besked om fejlen - men ikke af tilsynet.

Datatilsynet det åbenbart ikke sådan at man først standser ulykken og derefter giver hjælp, lyder det fra IT-Brachen, selv om det er det første, alle børn og voksne lærer, når der sker uheld og ulykker.

I Datatilsynet »prioriteres ønsket om at politianmelde og udstede størst mulige bøder frem for borgernes sikkerhed og hjælp til virksomheder,« siger Birgitte Hass, adm. Direktør i IT-Branchen, ifølge en pressemeddelelse under overskriften 'Datatilsynets brændende ønske om bøder rammer de mest udsatte borgere.'

Artiklen fortsætter efter annoncen

Datatilsynet var mere interesseret i at indsamle data for at afdække omfanget af problemet, end at sørge for at hullet blev lukket, lyder det fra IT-Branchen.

Og som følge heraf lå data om de personer, der havde brugt portalen til at søge psykologhjælp, frit tilgængelige.

»Vi taler om nogle af de mest udsatte og skrøbelige mennesker i Danmark, som Datatilsynet bevidst undlader at hjælpe, fordi de hellere vil statuere et eksempel. Dermed har Datatilsynet fuldstændigt misforstået deres vigtigste rolle, nemlig at være med til at lukke eventuelle sikkerhedshuller gennem rådgivning og hjælp til virksomhederne,« udtaler Birgitte Hass.

Polianmeldt

GoMentor blev heller ikke underrettet, så de kunne lukke hullet. De blev til gengæld politianmeldt af Datatilsynet, hvilket de først blev gjort opmærksom på, da en journalist kontaktede dem.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Det svarer jo til, hvis politiet opdagede en bil, hvis bremser ikke virkede, og så lod den køre rundt i tre måneder for at indsamle beviser for, hvor mange ulykker den kunne nå at begå. Sådan bør ingen offentlig instans agere – og slet ikke når det handler om udsatte borgere,« siger Birgitte Hass.

IT-Branchen lancerede tidligere i år et sikkerhedskodeks for indrapportering af sikkerhedsbrister, som netop fortæller, hvordan man som virksomhed, borger og offentlig instans skal agere, hvis man falder over et sikkerhedsbrist.

»Et af de væsentligste principper fra dette kodeks er, at man hurtigst muligt skal meddele rette systemejer eller it-leverandør, når man bliver opmærksom på fejl og sikkerhedsbrister. Vi kunne kun ønske os, at Datatilsynet agerede herefter og holdt fokus på at stoppe hullet og derefter at sikre, at det ikke sker igen,«slutter Birgitte Hass.

Fokus
Emner
5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
Anne-Marie Krogsbøll
3. december 2018 kl. 06:22

Hans Nielsen:

Hvis man en dag trækker sit tilsavn tilbage, hvordan vil Yahoo, så sikker sig at alle 3 part får slettet deres del.

Ja, det er jo desværre det samme problem med stort set alle privacy policyer, man siger ja til. Jeg frustreres i hvert fald over det, hvor gang jeg kigger i disse policyer.

I øvrigt en imponerende liste.......Gad vide, hvad der ville komme frem, hvis man gav sig til at tjekke, had alle disse firmaer laver? Måske et studie værd, den dag man får et par uger i overskud...

  • more_vert
    • insert_linkKopier link
4
Christian Nobel
2. december 2018 kl. 22:44

offtrop??

Har det noget med officielle tropper at gøre, eller hvad?

  • more_vert
    • insert_linkKopier link
3
Hans Nielsen
2. december 2018 kl. 14:52

Yahoo og GDPR - Lidt offtrop

Nu kom jeg på grund af en anden tråd lige til at se på Yahoo.

Det er måske ikke sikkerhedshuller, men det er meget besværligt at fravælge 3 parter. Hvis man en dag trækker sit tilsavn tilbage, hvordan vil Yahoo, så sikker sig at alle 3 part får slettet deres del. De kan jo samtidigt have delt data med andre igen, de skal jo også slettes, har de styr på det.

Det er det samme på V2, hvis man trækker sin tilsagn tilbage. Sikkere V2 sig så at dette tilsagn, også bliver slettet ved 3 part, i 3-10 led ?

Som flere og flere indser dette, så øges også forsvar mod denne masseovervågning og mega indsamling af data. Og det er grunden til at vi alle snart bruger add blokker, uanset hvor meget v2 piver. Kunne slet ikke tilgå yahoo i første omgang, på grund af mit Internet Komdom.

Det er en del af hvad du siger ja til - de skal have, at de har fået det oversat til Dansk.

"Disse partnere har mulighed for at få adgang til din enhed, så de kan indsamle data til brug for udvælgelse, levering og måling af annoncer"

Det er følgende firmaer, og deres samarbejdspartner som Yahoo skal have styr på.

advanced store GmbH One Person Health, Inc. (DBA Adacado) ADARA MEDIA UNLIMITED AdClear GmbH Digital Control GmbH & Co. KG Oracle AddThis Adelphic LLC Adform A/S Adimo ADITION technologies AG adledge Adloox SA Adludio Ltd ADMAN - Phaistos Networks, S.A. admetrics GmbH Admotion SRL Adobe Advertising Cloud AdRoll Inc AdSpirit GmbH ADventori SAS ADYOULIKE SA PulsePoint, Inc. AppNexus Inc. Arrivalist Co. Avid Media Ltd BIDSWITCH GmbH Cablato Limited Accelerize Inc. Index Exchange, Inc. Celtra, Inc. Clipcentric, Inc. Collective, Inc. dba Visto comScore, Inc. Conversant Europe Ltd. Crimtan Holdings Limited Criteo SA Cuebiq Inc. Dataxu, Inc. Hottraffic BV (DMA Institute) DoubleVerify Inc.​ Eulerian Technologies Exactag GmbH Exponential Interactive, Inc Flashtalking, Inc. Comcast International France SAS Gemius SA GroupM GumGum, Inc. hbfsTech HIRO Media Ltd Improve Digital International BV INNITY Innovid Inc. Inskin Media LTD Integral Ad Science, Inc. 2KDirect, Inc. (dba iPromote) Jivox Corp Knorex Pte Ltd Kochava Inc. LifeStreet Corporation Ligatus GmbH LKQD, a division of Nexstar Digital, LLC. LiveRamp, Inc. LoopMe Ltd Lotame Solutions, Inc. Lucid Holdings, LLC MediaMath, Inc. Mediasmart Mobile S.L. Meetrics GmbH The Kantar Group Limited Oracle Neodata Group srl NEORY GmbH Neustar, Inc. NEXD Maytrics GmbH nugg.ad GmbH On Device Research Limited Ooyala Inc OpenX PIXIMEDIA SAS Platform161 plista GmbH Polar Mobile Group Inc. McCann Discipline LTD Quantcast International Limited R-Advertising RhythmOne, LLC Rakuten Marketing LLC Research Now Group, Inc The Rubicon Project, Limited S4M Samba TV UK Limited Scene Stealer Limited Rockabox Media Ltd Semasio GmbH ShowHeroes GmbH Signal Digital Inc. Sizmek Technologies, Inc. Smart Adserver SpringServe, LLC SpotX Steel House, Inc. Sublime Skinz Commanders Act Tapad, Inc. PaperG, Inc. dba Thunder Industries The Trade Desk, Inc and affiliated companies Tradedoubler AB Turbo Amobee, Inc. Underdog Media LLC Videology Ltd. White Ops, Inc. emetriq GmbH YellowHammer Media Group Yieldlab AG Yieldr UK Zebestof Bannerflow AB Visarity Technologies GmbH Active Agent AG Acuityads Inc. AdTheorent, Inc Aerserv LLC Arcspire Limited Avazu Inc. BeeswaxIO Corporation Avocet Systems Limited Bucksense Inc Codewise Sp. z o.o. Sp. k Delta Projects AB DynAdmic EMX Digital LLC Fyber xAd, Inc. dba GroundTruth Impression Desk Technologies Limited LiquidM Technology GmbH 1020, Inc. dba Placecast and Ericsson Emodo PubMatic, Inc. PubNative GmbH Qriously realzeit GmbH remerge GmbH RTB House S.A. RUN, Inc. Sharethrough, Inc Sift Media, Inc Simplifi Holdings Inc. Smaato, Inc. dunnhumby Germany GmbH Ströer SSP GmbH Taboola Europe Limited Teads Telaria, Inc Triapodi Ltd. TripleLift, Inc. UberMedia, Inc. video intelligence AG affilinet Vdopia DBA Chocolate Platform Sovrn Holdings Inc Intent Media, Inc. Etarget SE ShareThis, Inc. Skimbit Ltd Tradelab, SAS Sirdata smartclip Holding AG Eyeota Ptd Ltd Outbrain UK Ltd Yieldmo, Inc. Switch Concepts Limited Revcontent, LLC Digitize New Media Ltd ADman Interactive SL Centro, Inc. Bombora Inc. Captify Technologies Limited Zemanta, Inc. BidTheatre AB Adverline 33Across AdMaxim Inc. IPONWEB GmbH mainADV Srl The ADEX GmbH usemax advertisement (Emego GmbH) PowerLinks Media Limited Gamned Sojern, Inc. ad6media Digilant Spain, SLU MGID Inc. mediarithmics SAS Getintent USA, inc. Pixalate, Inc. The Reach Group GmbH 1000mercis Effiliation Nativo, Inc. TradeTracker Cloud Technologies S.A. Ziff Davis LLC MiQ TimeOne travel audience GmbH Demandbase, Inc. mbr targeting GmbH Internet BillBoard a.s. AudienceProject Aps Golden Bees NEURAL.ONE FM Labs LLC Sub2 Technologies Ltd ChannelSight Uprival LLC ATG Ad Tech Group GmbH Roq.ad GmbH netzeffekt GmbH Illuma Technology Limited

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
29. november 2018 kl. 19:10

Det kunne være at datatilsynet, evt med politiets eller en dommers hjælp, skulle udstede et forbud mod at tjenesten fortsætte og i samme ombæring sikre bevismaterialet fx i form af et eller flere forensic images.

Det vil sikre at så usikre tjenester ikke er online.

  • more_vert
    • insert_linkKopier link