Læk af personoplysninger fortsætter hos boligside trods kritik

Illustration: leowolfert/Bigstock
Tvangsauktionssiden.dk har stadig cpr-numre frit tilgængelige på deres hjemmeside trods kritik tidligere på året.

Ikke nok med at deres hus står til tvangsauktion i fogedretten. Boligejernes cpr-numre flyder også frit ud fra internettet, mens salget står på.

Det er tvangsauktionssiden.dk, der endnu engang er i vælten, efter de ellers i maj 2016 var blevet gjort opmærksom på problemet med den manglende beskyttelse af persondata i Ekstra Bladet.

»Personnumre er fortrolige og kommer kun ejeren ved og den, der skal behandle sagen. For de dygtige kriminelle er cpr-nummeret simpelthen indgangsvinklen til at kunne lave svindel af forskellig art,« udtalte formand for Rådet for Digital Sikkerhed, Rasmus Theede, dengang til Ekstra Bladet.

Og ifølge Rasmus Theede er loven klokkeklar, når man som virksomhed håndterer andre folks data.

»De kan ikke fraskrives ansvar, da det er dem, der stiller platformen til rådighed og dermed er databehandlerne. Derfor er det også dem, der skal sikre, at man har de nødvendige it-kundskaber og procedurer til at beskytte persondata,« siger Rasmus Theede til version2.

Syv salgsopstillinger viser cpr-numre

Version2 har i øjeblikket kendskab til syv salgsopstillinger, der indeholder cpr-numre.

Det er ifølge Rasmus Theede et brud på persondataloven. Her står det, at private såvel som offentlige aktører kun må offentliggøre cpr-numre med et samtykke fra den pågældende person.

»Medmindre tvangsauktionssiden.dk har indskrevet andet i deres databehandleraftale med deres brugere, så er loven sådan. Men det har jeg svært ved at forestille mig.«

Brugerne er hos tvangsauktionssiden.dk de advokater, som lægger bilagene op om salgsopstillinger. Dokumenterne ligger typisk på siden mellem tre uger og en måned, så der er et betydeligt vindue, hvor eventuelle identitetstyve har frit spil.

Hos Flexya, der ejer tvangsauktionssiden.dk er Steffen Vogndrup uenig i Rasmus Theedes udlægning.

»Flexya er et softwarehus og i relation til vores kunder er vi databehandler. Vi stiller et system til rådighed for vores kunder, som de bruger helt selvstændigt og igennem dette system egenhændigt uploader til diverse hjemmesider,"« forklarer Steffen Vogdrup, der mener at ansvaret ligger hos advokaterne.

»Bliver vi gjort opmærksom på uregelmæssigheder tager vi straks kontakt til de pågældende kunder. Vores kunder er opmærksomme på problemstillingen og ansvaret, når vi henvender os til dem. Vi har strammet procedurerne. Og derfor er det møgirriterende, at det dukker op igen. Lige så snart vi hører om det, så tager vi også aktion på det. Det er klart,« siger han.

Datatilsynet er på sagen

Datatilsynet er blevet gjort opmærksom på sagen og vil nu tage den op.

»På nuværende tidspunkt kan jeg kun sige, at vi er blevet bekendt med sagen, og vi tager den op. Så må det blive afklaret, hvem der er ansvarlige,« siger Lena Andersen, kontorchef i Datatilsynet.

Der forventes at være en afgørelse inden for seks måneder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Datatilsynet er blevet gjort opmærksom på sagen og vil nu tage den op.
»På nuværende tidspunkt kan jeg kun sige, at vi er blevet bekendt med sagen, og vi tager den op. Så må det blive afklaret, hvem der er ansvarlige,« siger Lena Andersen, kontorchef i Datatilsynet."

???

Er der virkeligt ingen instans - eks. politiet - der har ansvar for/mulighed for sporenstregs at fjerne sådanne oplysninger, så snart det bliver opdaget? Skal de pågældende borgere virkeligt finde sig i, at der først skal langstrakt sagsbehandling hos Datatilsynet til, mens deres cpr-numre ligger frit tilgængelige? I lyset af diverse tiltag for uden dommerkendelse at kunne lukke hjemmesider, der har for mange "T" som i "terror" i teksten, så kan det undre, at der ikke er mulighed for at gribe ind overfor åbenlyse lovovertrædelser som ovennævnte.

Det minder mig om, da jeg for et par år siden opdagede, at en læge, jeg havde haft meget overfladisk kontakt med, fortsatte med at tilgå mine oplysninger i sundhed.dk, efter at kontakten var helt stoppet - selv efter at jeg havde henvendt mig til ham og forbudt ham dette.

Det var fuldstændigt umuligt at finde en offentlig instans, der mente at have mulighed for at stoppe det - jeg var forbi bl.a. Datatilsynet, Embedslægen, ministeriet, politiet m.fl. , men fik den besked, at jeg bare måtte afvente en meget langstrakt sagsbehandling, der skulle afgøre, om det nu var rigtigt, at hans adgang skete uden min accept. I al den tid måtte jeg altså finde mig i, at han fortsat kunne gå ind i mine sundhedsdata -ingen ville blokere hans adgang til dem.

Sagen er endt med en politianmeldelse af lægen, som endnu ikke er afgjort - men kors, hvor var det ubehageligt ikke at kunne få sat en stopper for hans adgang til mit privatliv.

De fleste tror nok, at såfremt man opdager sådan uautoriseret adgang, så er der instanser, der straks griber ind - Wrooonng!!!! Ingen havde tydeligvis lyst til at skulle have fingrene ned i den hvepserede!

Der røg en meget stor bid af min tillid til de danske myndigheder i sager om datasikkerhed,

Simon Mikkelsen

»Personnumre er fortrolige og kommer kun ejeren ved og den, der skal behandle sagen. For de dygtige kriminelle er cpr-nummeret simpelthen indgangsvinklen til at kunne lave svindel af forskellig art,« udtalte formand for Rådet for Digital Sikkerhed, Rasmus Theede, dengang til Ekstra Bladet.

Kæden hopper af første gang fordi at CPR-nummeret alene kan dette. Det er en kendt diskussion her på sitet.

Men sammenligner man med andre områder, såsom salg af kopimøbler, medicin og spil uden godkendelse bliver sider lukket og domæner beslaglagt i stor stil. Det burde også relevant at gøre i dette tilfælde.

Jens loggo

Brugerne er hos tvangsauktionssiden.dk de advokater, som lægger bilagene op om salgsopstillinger. Dokumenterne ligger typisk på siden mellem tre uger og en måned, så der er et betydeligt vindue, hvor eventuelle identitetstyve har frit spil.

Det gør ingen forskel, om det er kort eller lang tid, informationen ligger tilfængelig.

Så længe indentitetstyve er klar over at informationen overhovedet bliver tilgængeliggjort på siden, kan et simpelt script holde øje med siden og automatisk rippe enhver ny information derfra.

Jesper Nielsen

Til en anden gang, når det handler om læger mv. så kan Sundhedsdatastyrelsen, hjælpe, de har en aktiv proces, der undersøger disse forhold.

Du er måske nok dækket ind under "Til en anden gang", men Sundhedsdatastyrelsen blev etableret i november 2015. OP's oplevelse fandt sted "for et par år siden" og dermed (sandsynligvis, afhængig af hendes definition af "et par") inden Sundhedsdatastyrelsen<sarkasme>, landets ypperste eksperter inden for sikker behandling af sundhedsdata,</sarkasme> eksisterede.

Anne-Marie Krogsbøll

Tak for tippet, Claus Juul. Jeg frygter nu, at det stadig er en sej død at få stoppet den slags - som i historien med boligsiden.

Faktisk tror jeg, at lægen fortsat ville kunne gå ind på mine oplysninger - hvis han turde. Selve hans adgang er ikke stoppet, for han har andre patienter, hvor han har brug for adgangen - og det vejer tungere end enkeltpersoners behov for at få stoppet den. Man kan, som jeg husker det, ikke stoppe adgangen til enkeltpersoners data - kun hele adgangen. Og derfor insisterer man altså på, at der skal udredes og føres sag, inden man gør noget.

Claus Juul

Og derfor insisterer man altså på, at der skal udredes og føres sag, inden man gør noget.

SDS (sundhedsdatastyrelsen) har sanktions muligheder, jeg antager at de kan føre sag mod lægen og får ham/hende dømt og måske endda frakendt rette til at drive lægevirksomhed. Det er selvfølgelig en proces der tager tid. Skulle det blive et udbredt problem, kan det selvfølgelig også blive nødvendigt at re-designe systemerne, således at lægen blacklistes i forhold til de personer, som lægen digitalt stalker.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize