It-sikkerhedsrådet: Tving virksomheder til at offentliggøre databrud

I modsætning til en række andre lande har Danmark ingen lov, der tvinger virksomheder til at informere ramte borgere om persondatabrud. Det kunne ellers være en god ide, mener it-sikkerhedsrådet.

Hvis personfølsomme oplysninger om din indkomst, seksualitet eller dit cpr-nummer ved en fejl havner på nettet, har du i dag ikke krav på at få at vide, at det er sket.

Det mener It-sikkerhedsrådet ellers kunne være en god ide.

»Afhængig af, hvordan det bliver skruet sammen, kunne det få virksomhederne til at tage persondatabeskyttelse ekstra seriøst. Det gør ondt på deres renomme, hvis de skal oplyse alle kunder om eventuelle persondatabrud,« siger Rådet for it- og persondatasikkerheds formand, Ingrid Colding-Jørgensen.

Som Version2 har tidligere har beskrevet det, har Californien allerede en sådan lovgivning, mens Indien og New Zealand arbejder på at indføre den.

Ingrid Colding-Jørgensen peger dog på, at det næppe vil være en simpel manøvre at vedtage en sådan lov. Da overtrædelse af Persondataloven er strafbart, vil reglerne om, at man ikke kan tvinge folk til at inkriminere sig selv, formentlig gælde.

»Så vidt jeg lige kan se, medfører den måde Persondataloven er formuleret på, at man sandsynligvis er nødt til også ændre den lov, hvis man vil tvinge virksomheder og myndigheder til at offentliggøre brud på datasikkerheden,« siger hun.

Datatilsynet anbefaler ligeledes i deres retningslinjer, at man underretter de forurettede, hvis man utilsigtet har offentliggjort personfølsomme oplsyninger.

»Vi udtaler os ikke om hvilke love, politikerne bør vedtage. Men vi bruger bestemmelserne i Persondatalovens §5 stk. 1 om god databehandlingsskik til at anbefale, at man fortæller folk, hvis man utilsigtet er kommet til at offentliggøre følsomme data,« siger chefkonsulent i Datatilsynet, Jakob Lundsager.

Også den offentlige it-sikkerhedsinstitution DK-Cert synes, det er en god ide med lovgivning på området.

»Jeg er helt sikker på, at det vil have en positiv effekt på andre, som måske heller ikke har krypteret deres data, eller hvad problemet nu kan være i de sager,« har DK-Certs leder Shehzad Ahmad tidligere udtalt til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Knud Henrik Strømming

Hvis man kommer til at køre ind i en parkeret bil, er man så juridisk forpligtet til at sætte et visitkort under vinduesviskeren? Er man det moralsk?

Jeg skal ikke udtale mig om juraen, men jeg er ikke et sekund i tvivl om, at man er moralsk forpligtet til at "melde sig selv", både når man har beskadiget andre personers materielle og immaterielle værdier. Hvis vi kan være enige om moralen, så må juristerne finde ud af at skrue juraen sammen, så lovgivningen understøtter moralen.

Og det skal koste! Så ikke noget med en hurtig undskyldning pr. email.

  • 0
  • 0
Anonym

Det er et interessant stunt at man i offentlige kredse ofte laver det trick at tale om personfølsomme oplysninger og glemmer at de mest personfølsomme data er dem som identificerer - det er de identificerende oplysninger som gør alle andre misbrugbare.

Selvom man om nogen data klart kan sige at de formentlig er meget intime, så kan det gælde selv de mest almindelige information. Din lokations følsomhed afhænger af kontekst - hvis du er hos en psykiater er den afgjort følsom og ligeledes hvis du har et sidespring (juridisk lovligt men social mindre så). Man er derfor nødt til at behandle alle data som følsomme.

Det rigtige at sige er dermed at tale om personhenførbare snarere end personfølsomme data - i modsætning til data som IKKE er personhenførbare og dermed er "sikre" eller "frie".

  • 0
  • 0
Log ind eller Opret konto for at kommentere