Laptop-tyveri: Prosa kan have mistet medlemmers CV'er og CPR-numre

It-fagforeningen Prosa har fået stjålet fem laptops, som kan indeholde alt fra CPR-numre til CV'er på hundredvis af medlemmer.

Under en generalforsamling har it-fagforeningen Prosa mistet fem bærbare computere, der kan indeholde personoplysninger om foreningens medlemmer.

Det drejer sig ikke om alle medlemmer, men hvad formand i Prosa Niels Bertelsen kalder ‘nogle få hundrede’.

»Det kan være, nogle af pc'erne kan indeholde oplysninger af personhenførbar karakter. Vi har lige undersøgt, hvor mange af dem der rent faktisk indeholder det, og så har vi skrevet til de medlemmer, som vi kunne frygte kunne være omfattet af det, for at sikre os, at de er opmærksomme på det,« siger Niels Bertelsen og tilføjer, at fagforeningen tilbyder at støtte medlemmer med en identitetstyveriforsikring, hvis det viser sig, at der er behov for det.

Formand for Prosa Niels Bertelsen. Illustration: PROSA

Prosa har netop sendt en mail til de medlemmer, der kan være berørt af tyveriet. I mailen står der blandt andet:

»Lørdag den 31. oktober 2015 blev der i forbindelse med generalforsamlinger i huset stjålet 5 laptops. På disse lå der fortrolige data om dig.«

Af mailen fremgår det, at det drejer sig om navn, telefonnummer, CPR-nummer, e-mailadresse, uddannelse, privatadresse og muligvis et CV.

Fagforeningen oplyser, at tyveriet er anmeldt til politiet, og at datalækket er anmeldt til Datatilsynet. Der er adgangskode på maskinerne, men ikke kryptering. Og derfor kan indholdet altså i princippet tilgås, måtte nogen være interesseret i det.

Er igang med kryptering

I mailen skriver Prosa også: »Vi er naturligvis usigeligt kede af det, specielt fordi vi allerede var i gang med at implementere sikkerhedstiltag som ville have forhindret dette.«

De bortkomne Windows-maskiner har kun været beskyttet med kodeord, og altså ikke kryptering, hvilket dermed gør det muligt at fiske oplysningerne ud af enhederne. Men det er netop den praksis, Prosa er ved at ændre på, jf. formuleringen om sikkerhedstiltag. Niels Bertelsen uddyber:

»Vi var faktisk igang med at sikre alle vores laptops i denne sammenhæng. Så det var lidt ærgerligt, at det skete på dette tidspunkt.«

Sikring vil sige, at it-fagforeningens maskinel er ved at blive udstyret med kryptering og VPN-opkoblinger, forklarer han.

»Det vil blive rullet ud i løbet af kort tid, og så vil vi ikke have de problemer længere, uagtet om de bliver stjålet eller ej. Så er de helt sikrede,« siger Niels Bertelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

I tillæg til ovenstående kommentarer, som jeg er ganske overordentlig enig i, så vil jeg tilføje min store undren over hvorfor medlemmernes CPR-numre overhovedet ligger spredt ud på 5 laptops. Jeg har meget svært ved at se berettigelsen af dette. Så personfølsomme oplysninger bør ikke ligge og flyde rundt på laptops. De skal opbevares sikkert og centralt hvor kun de relevante betroede medarbejdere må have adgang til dem og kun til det formål de er indsamlet til. Det forekommer mig umiddelbart som skødesløst af PROSA - og muligvis på kant med loven.

  • 9
  • 1
Povl H. Pedersen

Husk, det er en fagforening. Det er normalt bureaukrater uden viden om ret meget andet end overenskomsten. Typisk er de organiseret i en anden fagforening, da de sjældent er hjemmehørende i den fagforening de arbejder i.
Hvis fagforeningen gør det godt, så er alle kompetente medlemmer i rigtigt arbejde, til en fornuftig løn.

Og husk, her er det ledernes maskiner. Lederne plejer at have den største modstand mod kryptering m.m. - Og det tager også performance.

Er der en her, som kan fortælle om den indbyggede ATA kryptering er nogenlunde sikker ? Kan huske, at det var besværligt at hacke xbox 1 (den originale) da disken var låst/krypteret og ikke kunne bruges før man havde plukket nøglen ud gennem en svaghed i et spil kørende på systemet.

  • 3
  • 1
Brian Hansen

Som jævnlig modtager af Prosa's medlemsblad, synes jeg egentligt de har udvist en ganske faglig kompetence.
Derfor undrer det mig, at de selv står og prædiker kryptering, men ikke har fået det implementeret i 2015.
Nu ved jeg ikke om de kører Windows, men Bit Locker er imponerende nem at sætte op, er gratis hvis du har en Enterprise eller Ultimate Win7, eller Win8 Pro, og den VIRKER!

  • 2
  • 0
Frithiof Andreas Jensen

De skal opbevares sikkert og centralt ...


Det er det samme. Lektien er at informationer som man ikke vil have löse på nettet slet ikke skal indsamles og opbevares längere end den enkelte transaktion kräver.

Vi burde designe "state-less" administrative systemer hvor data ejes og kontrolleres af borgeren, borgeren har "nöglen" og borgeren välger når og hvad der gives til en proces som borgeren gerne vil have udfört og derefter slettes.

  • 2
  • 0
Peter Nørregaard Blogger

Det er en illusionen at personnummer er hemmeligt. Den eneste grund til at personnummer kan bruges til fx id-tyveri er, at folk tror at en persons kendskab til et personnummer nærmest pr automatik også er bevis for at personen er den som personnummeret peger på. Her ligger et problem, som bedst kan håndteres ved at offentliggøre alle personnumre så de en gang for alle mister deres illusoriske status som hemmelige.

Så det burde ikke gøre noget at personnumre er blevet stjålet. Det egentligt kritiske i tyveriet (hvis tyven da i det hele taget er det mindste interesseret i hvad der ligger på harddisken) er at tyvene nu ved at nogle navngivne personer er medlem hos Prosa - et forhold som nok ikke ligger de pågældende så meget på sinde.

  • 9
  • 1
Brian Hansen

Så det burde ikke gøre noget at personnumre er blevet stjålet


I utopiske Danmark, nej. Realiteten er desværre at CPR bliver brugt som den eneste verifikation rigtig mange steder i dag. Jeg kan f.eks. tegne et mobil abonnement i den lokale Bilka ned en vens CPR NR, det er prøvet. De fik lidt af et møgfald fra en nærmest måbende ven der stod ved siden af da vi testede det :)

  • 3
  • 0
Frank Guldberg Lassen

Jeg har i mange år advokeret for at de af mine kollegaer der er medlem af SamData bliver ægte It Professionelle og melder sig ind i PROSA, men nu er det sgu' for pinligt!

Først sender min fagforening alle vore CPR numre ud til alle medlemmer i listeform - for et par år siden. Og nu ligger bl.a. mit CPR nummer, mine konto oplysninger mm. på 5 stjålne Laptops! Og så får jeg derudover dette "tilbud" pr. mail fra PROSA:

"Man kan forsikre sig mod identitetstyveri. Det vil ikke gøre, at identiteten ikke kan stjæles, men man kan få en økonomisk støtte og vejledning, hvis det går galt. Vi vil gerne tilbyde at betale et års dækning mod identitetstyveri."!

Dette er noget jeg aldrig har overvejet at skulle få brug for, men når nu min fagforening er så amatøragtig som den er, så må jeg jo overveje det. Og så alligevel ikke, for efter 15 års medlemskab flytter jeg over til SamData - det her er simpelthen for latterligt!

Hilsen Frank

  • 1
  • 3
Nikolaj Brinch Jørgensen

I utopiske Danmark, nej. Realiteten er desværre at CPR bliver brugt som den eneste verifikation rigtig mange steder i dag. Jeg kan f.eks. tegne et mobil abonnement i den lokale Bilka ned en vens CPR NR, det er prøvet. De fik lidt af et møgfald fra en nærmest måbende ven der stod ved siden af da vi testede det :)


Læs hvad Peter skriver: Hvis vi offentliggør alle CPR-numre på en gang, f.eks. på cpr.dk, så vil praksis højst sandsynligt ændre sig, da det så bliver synligt at man ikke kan autentificere sig med et CPR-nummer.

Det er svært at tage datatilsyn mm. seriøst, når de stadigt har den holdning, at CPR er , og skal være, hemmeligt.

  • 1
  • 0
Gert Madsen

Det er svært at tage datatilsyn mm. seriøst, når de stadigt har den holdning, at CPR er , og skal være, hemmeligt.


De kan ikke andet, eftersom det står i loven.

Og så tror jeg ikke at Peter har ret.
Jeg tror først at det ændres, når nogen har fået dom for, at man ikke kan betragte CPR-nr. som identifikation.
Og jeg ved ikke rigtig hvad jeg skal mene om domstolenes jordforbindelse i den slags sager.

  • 1
  • 0
Log ind eller Opret konto for at kommentere