Leder: Datatilsynet glemte sin vigtigste opgave: at stoppe lækager

Tak for uddybende svar, Nis peder Bonde:

Datatilsynet modtager en henvendelse og skal foretage en indledende behandling heraf. Det kan nok godt tage nogle dage førend situationens alvor går op for Datatilsynets ledelse. Det synes jeg personligt er meget rimeligt - specielt fordi det formentlig er første gang de er landet i en sådan situation.

Jeg gætter på, at Datatilsynets jurister nu bliver kraftigt involveret, for hvor langt må Datatilsynet egentlig gå blot på en fornemmelse? Hvis man går ud med bål og brand (f.eks. et ”dawn raid” som nogen af kritikerne efterfølgende har foreslået), kan man på stedet lukke en virksomhed, som er 100% afhængig af kundernes tillid. Det ønsker man naturligvis ikke at gøre, hvis det kun er en lille sag, for vi lever jo i et retssamfund. Konklusionen bliver formentlig, at man er nødt til at fortsætte undersøgelserne førend man skrider til nogen form for handling. Men også, at det derfor er nødt til at foregå på en måde, så GoMentor ikke opdager det undervejs og derfor vælger at lukke ned, finder på at slette bevismateriale etc.

På et tidspunkt gør sikkerhedsfolk formentlig opmærksom på, at man en nødt til at være meget forsigtige: For hvis man ”hacker” GoMentors system for hårdt, kan det være, at firmaet opdager, at noget er i gære. Man kan jo af gode grunde ikke vide, hvor mange advarselssystemer mod hacking, som GoMentor har etableret.

I dag kan vi imidlertid nok formode, at GoMentor ikke har haft ret mange advarselssystemer mod hacking (systematisk logovervågning, IDS-systemer o.l.) – hvilket i sig selv kan være et brud på GDPR artikel 32 om behandlingssikkerhed

Alt sådan noget har været nødvendigt fordi vi lever i et retssamfund

Du skal have tak for en god gennemgang af det mulige forløb, det er både oplysende og interessant. Men det ændrer ikke på min opfattelse af lige præcist denne sag, og det er som borger meget bekymrende, hvis det virkeligt forholder sig, som du beskriver - hvad nu, hvis det var 1 million borgeres sundhedsdata i Sundhedsplatformen, man blev tippet om hul ind til? Ville der så også gå 3 måneder, inden man krævede det lukket - af hensyn til efterforskningen?

I følge artiklen har Datatilsynet forklaret følgende til Version2: "Datatilsynet har til Version2 forklaret, at man ville efterprøve og dokumentere datalækket" Det tager som sagt få minutter, ud fra Ann Petterssons beskrivelse. Så min alternative fantasi om, hvad der er foregået, er, at man har lagt anmeldelsen i en bunk med 15 000 andre anmeldelser, og ganske rigtigt ikke vurderet den som meget alvorlig, for det er jo "bare" 4-5 borgere (hvor ved vi det fra?). Og så har man planlagt, at når man når til den i bunken, så efterprøver og dokumenterer man hullet og går videre. Og der er så gået nogle månede, inden man nåede til den i bunken - desværre.

Måske har du ret - men hvis det er tilfældet, er vi godt nok i en endnu værre situation mht. privatliv og datasikkerhed, for i praksis betyder det jo, at vi borgere overhovedet ikke kan forvente hjælp, hvis nogen krænker vores privatsfære digitalt. Er vi ikke enige i, at når først der er gået 3 måneder, så er privatlivet for længst fløjet ud af vinduet, så det nærmest kan være lige meget?

Men hvis du har ret i din beskrivelse af hændelsesforløbet - har du så et bud på, hvad der skal gøres for faktisk at beskytte ramte borgere så hurtigt som muligt? For det her er altså ikke holdbart på nogen måde. Det er til grin.

Den slags virksomheder burde underkastes direkte godkendelsesprocedurer af deres opbygning, inden de overhovedet fik lov at starte op. Som jeg ha skrevet i en anden kommentar er sted, er jeg heller ikke imponeret af deres privatlivspolitik. Den burde ikke være lovlig i den type virksomhed - men den kan jo studeres på deres hjemmeside, og det taget ikke 3 måneder.

Tak for svar, Nis Peder Bonde.

Og tiden har jo netop vist, at Datatilsynets vurdering var helt korrekt!

Jeg vil også gøre opmærksom på dette fra Datatilsynets klagevejledning:"Inden du klager, bør du tage kontakt til den virksomhed, organisation, person eller myndighed, som du mener, behandler oplysninger om dig i strid med reglerne om databeskyttelse, fordi det ofte vil være muligt at få den dataansvarlige til at komme dig i møde."

Hvordan hænger denne vejledning sammen med argumentet om, at det kan ødelægge efterforskningen, hvis firmaet bliver varslet?

Og hvad er dit svar til mit eksempel på meget bedre egnede sager til at statuere eksempler med, hvor det bare går ud over nogen, som tilsynet måske er endnu mere bange for at lægge sig ud med? Det ville i sandhed være for the greater good , hvis man brugte eksempler, som ramte magthavere, eller kun forårsager økonomisk skade, istedet for borgere i nød, når/hvis man skal lade en sag køre helt ud for at statuere et eksempel.

Og jeg savner også dit ekspertblik på, hvilken efterforskning der kan være bedrevet i de 3 måneder. For al tiden kan vel ikke være gået med juristeri? Hvis det er så uafklaret, hvad tilsynet må og ikke må gribe til, når de bliver varslet om en klar og tydelig overtrædelse med store konsekvenser for de ramte, så er det vel der, de skal råbe vagt i gevær opad til for at få nogle bedre regler, for det lyder da ikke hensigtsmæssigt?

Jeg kunne aldrig drømme om at argumentere for at beskære Datatilsynet, tvært imod. Men selv om de har fået flere hænder, og juridisk har fået flere tænder, så forekommer det mig ud fra denne sag, at de stadig agerer som tandløse, der ikke tør bide opad i systemet for at få nok ressourcer. De lader ressourcemanglen gå ud over de svageste, frygter jeg. Jeg vil i hvert fald gerne se deres prioriteringsliste - er der sager, der rykker op på listen, og i givet fald: Hvilke?

Og det er her, jeg har indtryk af, at nogle af kommentarerne går galt i byen. Der kan sagtens være to store problemområder i en sag. Det er bestemt ikke sådan, at man kritiserer Datatilsynet for at forsvare GoMentor, sådan som nogen lyder til at opfatte det. Jeg kan kun tale for mig selv, men jeg gætter på at mange andre er enige - vi kritiserer Datatilsynet af hensyn til de ramte borgere, ikke af hensyn til GoMentor.

• I denne sag er GoMentors sjusk med sikkerheden et kæmpeproblem, men egentlig ikke særligt interessant, for det er så tydeligt, at den er gal. Jeg ville da byde det velkommen, hvis teknisk interesserede og kyndige kastede sig over GoMentor og flænsede dem for den uansvarlighed, de har udvist ift. en forrentningsmodel, hvor de tjener sikkert store penge på andre menneskers behov for hjælp og overdrevne tillid. Det ville være helt fint at få afsløret alt det tekniske sjusk i denne sag. Og der ville jeg blande mig uden om, for det har jeg ikke en dyt forstand på.

• Det andet problemområde er Datatilsynets handlen i sagen. Og der mener jeg, at jeg som gammel psykolog og terapeut (men dog ikke online-terapi) er mere ekspert end mange andre ift. at vurdere, om det er forsvarligt at handle på den måde. Og jeg er rystet over, at man har ladet stå til i denne sag, og åbenbart - i fuld overensstemmelse med flere kommentarer her (men heldigvis ikke alle) - har udnævnt disse borgere til prøveklude. Nogle af de ramte vil måske ikke tage det så tungt - men for andre er det måske første gang i deres liv, at de har vovet at række ud efter hjælp ift. meget store og smertefulde problemer, og de har måske måttet kæmpe en brav kamp med sig selv for at få tillid til terapeuten. Og så oplever de, at denne tillid bliver svigtet - det kan være ødelæggende.

Mht. om DR har ødelagt efterforskningen, så giver det jo ingen mening for Datatilsynet at tro, at Ann Pettersson bare dropper sagen, hvis ikke hun for en eller anden forklaring. Det er klart, at når/hvis hun får en oplevelse af, at der ikke rigtigt sker noget, så går hun videre andre steder. Det skal hun have tak for, for det bringer den mangelfulde efterforskning frem i lyset.

I øvrigt vil jeg henlede opmærksomheden på, at der tilsyneladende kan være uventede risici ved online-terapi. For hvad sker der, hvis man lukker GoMentor-Biksen? En masse klienter/borgere mister pludseligt kontakten til den terapeut, de måske møjsommeligt har fået tillid til og indviet i deres mest hemmelige tanker og følelser. Hvad skal de stille op, hvis platformen pludseligt lukkes? Terapeuten kan tænkes at befinde sig langt væk, så fysisk fremmøde ikke er en mulighed. Det kan hos nogle patienter udløse alvorlig krise, og det er faktisk en ret alvorlig situation, som jeg ikke rigtigt ved, hvordan man skal håndtere. Og jeg gætter på, at GoMentor ikke har indtænkt nogen løsning på det problem i løsningen.

Anne-Marie Krogsbøll:

Nu er jeg (som du selv bemærker) sikkerhedsekspert i mit daglige virke og ikke jurist med indblik i retsplejeloven m.m. Derfor kan jeg kun gisne om, hvad de tre måneder kan være brugt på, men jeg kan forestille mig noget á la dette:

1. Datatilsynet modtager en henvendelse og skal foretage en indledende behandling heraf. Det kan nok godt tage nogle dage førend situationens alvor går op for Datatilsynets ledelse. Det synes jeg personligt er meget rimeligt - specielt fordi det formentlig er første gang de er landet i en sådan situation.

2. Herefter følger formentlig en fase, hvor nogle af Datatilsynets sikkerhedseksperter begynder at eksperimentere for at finde ud af, hvor omfattende problemet er.

3. Datatilsynets medarbejdere får formentlig ret tidligt en fornemmelse af, at denne sag kan være meget større end et persondatalæk på 3-4 personer. Her bruger man så nok nogle dage på at drøfte, hvordan man skal gå videre.

4. Jeg gætter på, at Datatilsynets jurister nu bliver kraftigt involveret, for hvor langt må Datatilsynet egentlig gå blot på en fornemmelse? Hvis man går ud med bål og brand (f.eks. et ”dawn raid” som nogen af kritikerne efterfølgende har foreslået), kan man på stedet lukke en virksomhed, som er 100% afhængig af kundernes tillid. Det ønsker man naturligvis ikke at gøre, hvis det kun er en lille sag, for vi lever jo i et retssamfund. Konklusionen bliver formentlig, at man er nødt til at fortsætte undersøgelserne førend man skrider til nogen form for handling. Men også, at det derfor er nødt til at foregå på en måde, så GoMentor ikke opdager det undervejs og derfor vælger at lukke ned, finder på at slette bevismateriale etc.

5. Samtidig er der med statsgaranti også interne drøftelser hos Datatilsynet om, hvilken risiko det på kort sigt vil medføre for GoMentors øvrige kunder, hvis der faktisk i mellemtiden sker et større læk forårsaget af andre hackere. Denne overvejelse har formentlig givet anledning til en masse møder, hvor teknikere har skullet forklare jurister og ledelse, hvilken betydning forskellige kodefejl kan have. Datatilsynet har reelt måtte gennemføre (og naturligvis dokumentere!) en risikovurdering på et meget begrænset grundlag (kun det, som de kan se udefra via ren ”black box testing”). Dette er så nok til sidst endt i en konklusion om, at det ikke vil være uforsvarligt at fortsætte efterforskningen i nogle måneder endnu og at sandsynligheden for et sikkerhedsbrud lige netop i de næste måneder jo ikke er større end det, som GoMentor har forårsaget i måske årevis. Altså et argument om "the greater good".

6. På et tidspunkt gør sikkerhedsfolk formentlig opmærksom på, at man en nødt til at være meget forsigtige: For hvis man ”hacker” GoMentors system for hårdt, kan det være, at firmaet opdager, at noget er i gære. Man kan jo af gode grunde ikke vide, hvor mange advarselssystemer mod hacking, som GoMentor har etableret. I dag kan vi imidlertid nok formode, at GoMentor ikke har haft ret mange advarselssystemer mod hacking (systematisk logovervågning, IDS-systemer o.l.) – hvilket i sig selv kan være et brud på GDPR artikel 32 om behandlingssikkerhed - for ellers ville de nok ikke være blevet så overrasket, da DR’s journalist ”breaker” historien til dem. Men Datatilsynet har selvfølgelig ikke på det tidspunkt den luksus, at de kan skue tilbage og vide dette.

7. Derfor tror jeg, at tempoet for ”hackingen” sættes ned, man undlader måske at lave automatiske sårbarhedsscanninger, og man eksperimenterer nok heller ikke længere helt så frit som hvis man ikke var nødt til at tage denne mulighed i betragtning. Det tager også tid.

8. Alt imens dette foregår, følger juristerne formentlig sikkerhedseksperterne meget tæt for hele tiden at vurdere, om Datatilsynet går ud over sine beføjelser. Jeg har aldrig undersøgt, hvad Datatilsynet egentlig har af beføjelser i en sådan situation, men jeg er ret sikker på, at de har visse begrænsninger, for hvorfor skulle de ellers involvere politiet i efterforskningen førend de gik offentligt med sagen? I hvert fald kan jeg levende forestille mig, at dette har kunnet give anledning til mange ekstra møder, forsinkelser etc. Husk også på, at dette formentlig er Datatilsynets aller første sag af denne karakter, så man har nok aldrig før måttet gøre sig den slags overvejelser.

9. Jeg gætter på, at der undervejs også har skullet indhentes erfaringer fra andre EU-landes datatilsyn og føres drøftelser med EDPR for at sikre, at det danske Datatilsyn følger de spilleregler, som nok ikke helt er skrevet endnu i Europa. Det tager bestemt også tid.

10. På et tidspunkt kommer man formentlig så langt, at juristerne siger, at det vil være for risikabelt for Datatilsynet selv at fortsætte undersøgelserne. Dette fordi der vil være risiko for, at man - ved at hacke GoMentor yderligere - kan bevæge sig ud over de magtbeføjelser, Datatilsynet har. Det har der formentlig været mange møder om undervejs, og det har også taget tid.

11. Tilsyneladende vurderer Datatilsynet i hvert fald på et tidspunkt, at der i stedet er behov for at overdrage den videre efterforskning og bevissikring til politiet, da man formentlig efterfølgende har behov for i stedet at arbejde under retsplejelovens regler (eller hvad sådan en lov hedder – husk på at jeg ikke er jurist) for ikke at få sagen afvist hos domstolene.

12. Husk også, at Danmark her, sammen med Estland, har en særposition i forhold til de øvrige EU lande. For i alle andre lande har de nationale datatilsyn den endelige magt til at udstede administrative bøder, hvor dette i Danmark (og tilsvarende i Estland), p.g.a. grundlovens bestemmelser om magtens tredeling, er en magt, som kun ligger hos domstolene, og som derfor kræver at politiet inddrages som den offentlige anklager. Dette har formentlig givet anledning til et hav af møder mellem Datatilsynet, politiet, domstolene og måske også justitsministeriet for at klarlægge, hvornår GoMentor sagen skal gå fra den ene myndighed til den næste. Det tager helt sikkert også en masse tid!

13. På et tidspunkt politianmelder Datatilsynet så GoMentor, og nu skal politiets jurister og sikkerhedsfolk til at ”catche up” på sagen. Det tager også tid.

14. Vi ved vist alle, at politiet ikke ligefrem er top-tunet til at håndtere it-forbrydelser, og mange af os praktiserende sikkerhedsfolk har oplevet, hvor svært det kan være blot at nå frem til nogen i politiet, som overhovedet kan håndtere en sådan sag. Jeg kender f.eks. ikke til nogen sager som er klaret på mindre end tre måneder - trods det, at jeg har arbejdet professionelt med it-sikkerhed i mere end 25 år. Det tager nok også i denne sag en del tid, selvom Datatilsynets direktør forhåbentlig har nogle særlige telefonnumre, som hun kan ringe til hos politiet.

15. Nu skal politiets sikkerhedseksperter til selv at forestå den videre ”hacking” af GoMentor og dermed bevissikring. Det tager helt sikkert også tid, for ligesom Datatilsynet er politiet også underbemandet m.h.t. sikkerhedseksperter og nogen som blot ved det mindste om it. Her har jurister og ledelser også løbende skullet orienteres og klædes på om de teknisk komplicerede forhold for at kunne træffe beslutninger.

Alt sådan noget har været nødvendigt fordi vi lever i et retssamfund, og fordi vores myndigheder ikke kan have samme letsindige tilgang til andres sikkerhed, som Version2’s redaktion åbenbart har det, når de påstår, at de ofte har gjort noget lignende på blot to dage :-(

Personligt synes jeg, at tre måneder er ekstremt kort tid til en så kompliceret proces som den, der formentlig har udspillet sig her: Jura, sikkerhed, ledelse, forskellige myndigheder, EU, en ren ”black box testing” tilgang, risikoen for at blive opdaget etc. Alt sammen tager tid. Dette kaninhul må være enormt dybt! Jeg tror i hvert fald ikke, at det kan være ret meget enklere end det, som jeg har skitseret ovenfor.

Derfor kan jeg virkelig også frygte, at DR’s journalist har ødelagt hele efterforskningen ved at varsko GoMentor før tid, for firmaet ændrede jo som bekendt straks deres systemer. Præcis som Datatilsynet havde frygtet og forudset. Skulle vi ikke i stedet give Datatilsynet lidt "credit" for den forudseenhed og rettidige omhu?

Jeg kan kun håbe, at Datatilsynet og politiet har formået at sikre tilstrækkelige beviser inden da!

Anne-Marie Krogsbøll:

Du har ganske ret i, at mit argument handler om “the greater good”. Og naturligvis vil jeg stå på mål for det, jeg siger. Det er jo den måde, vi helt generelt har valgt at indrette samfundet på.

Du siger, at det vil svare til, at politiet lod et mord passere for at afsløre endnu større kriminalitet. Nu er der selvfølgelig et element af proportionalitet i dette, men principielt har du ret, og jeg er overbevist om, at det for dele af politiet (fx PET) faktisk er inden for de magtbeføjelser, de har fået stillet til rådighed. Netop “for the greater good”.

Når vi som samfund sender soldater i krig, er der også altid nogen, som (beklageligvis) dør “for the greater good”. Generaler kan endda finde på at ofre en mindre gruppe af deres egne soldater og vælge at tabe et slag for senere at kunne vinde krigen.

Som Margrethe Vestager engang sagde: “Sådan er det bare!” Jo det er for så vidt kynisk, men sådan er den nytteetik, som samfundet er drevet af - “for the greater good”.

Det er præcis sådan, offentlige myndigheder og autoriteter fungerer: De slår hårdt ned på udvalgte sager (med mulige, beklagelige ofre i forbindelse med efterforskningen) i et håb om, at det vil have en afskrækkende effekt for alle os andre, som ellers måske kunne overveje også at begå noget kriminelt - hvis vi da ikke frygtede straf.

Nogen kalder den slags “statsautoriseret vold”, og det er selvfølgelig en måde at se det på. Men når vi langt om længe får et Datatilsyn, som endelig viser tænder, bør vi ikke blive overraskede eller chokerede over, at det er lige præcis den måde, det sker på. “For the greater good”.

Vi har i årene været mange, som har været dybt frustreret over, at Datatilsynet var en tandløs vagthund. Nu ser vi så, at dette er ved at ændre sig, og jeg må personligt sige, at det er en stor glæde for mig at se, at der endelig er ved at komme andre boller på suppen. For det er i den grad nødvendigt - “for the greater good” - også selvom der skulle være nogle (indtil videre vist nok ret fiktive) ofre, som beklageligvis “kastes ind under bussen”, som du siger det.

Hos offentlige myndigheder bruger man typisk vældig mange ressourcer på at overveje, hvilke magtmidler man anvender. For det værste for en offentlig myndighed er vist, hvis den modtager (berettiget) kritik. De skal kunne stå på mål for de beslutninger, som de træffer - det er en del af deres ansvar, som vi borgere forventer, at de forvalter korrekt og helt efter bogen. Derfor Forvaltningsloven og andre love, som regulerer myndighederne.

Det har Datatilsynet - og efterfølgende politiet - formentlig også måttet bruge en del tid på i denne sag, og jeg vil tro, at det er medvirkende til, at det indtil nu har taget 3 måneder. Og tiden har jo netop vist, at Datatilsynets vurdering var helt korrekt! Så hvorfor mon alle nu (opildnet af It-brancheforeningens lobbyvirksomhed) starter med at skyde med skarpt og sige, at myndighederne helt har misforstået alting?

Blev Datatilsynet og politiet overhovedet færdige med efterforskningen og bevissikringen, eller ødelagde en DR journalist det hele ved - før tid - at afsløre sagen overfor GoMentor? Vi kan jo efterfølgende se, at GoMentor øjeblikkeligt gjorde det, som Datatilsynet ganske korrekt havde forudset og frygtet: Firmaet lukkede straks hullet for at dække over fadæsen, begyndte at “tale problemet ned” og hyrede straks et konsulentfirma til at bistå med krisestyring og med at få nedbragt konsekvenserne. Og engagerede måske tilmed deres brancheforening? Ja hvem ved...

Jeg glæder mig til at følge sagen videre og håber, at Datatilsynet og politiet har tilstrækkeligt med materiale til at sikre, at GoMentor straffes som fortjent (hverken mere eller mindre) - “for the grater good”.

Jeg håber også at It-brancheforeningen, Version2 m.fl. vil mislykkes med at få uoplyste politikere til at stække Datatilsynets magtbeføjelser nærmest inden de kommer i gang med at udfylde deres nye rolle. I et misforstået, men åbenbart populært hensyn til nogle ganske fiktive ofre for en efterforskning, som jeg personligt ikke ville have fantasi til at forestille mig ville kunne gennemføres ret meget hurtigere, når man samtidig skal iagttage retsplejelovens regler m.m.

Skulle det ske, ville alle vi, som gerne ser persondatasikkerheden løftet i Danmark, virkelig have tabt. Så pas på hvis ærinde I kommer til at gå!

Hvorfor overser Version2 dog den helt åbenlyse dagsorden fra brancheforeningen (!!!), og hvorfor vælger redaktionen i stedet - aldeles følgagtigt - at være kolportør for de tåbelige argumenter, som fremføres fra pengefolkene i denne branche. Vågn dog op, kom ind i kampen og afslør det “spin”, som pengefolkene prøver at give denne sag.

Der er meget af din kommentar, jeg godt kan tilslutte mig, men ikke din konklusion ift. denne sag. Men det ville være rigtigt dejligt, hvis du, som åbenbart er selvstændig sikkerhedsekspert, kunne indvie ikke-eksperter som mig i, hvad det er, der kan tage så lang tid? Jeg vil frygteligt gerne blive klogere, så ryk ud med nogle håndfaste ekspempler og argumenter: Hvad, helt konkret, har Datatilsynet lavet i de 3 måneder? Hvordan har de arbejdet på sagen - uden om firmaet? Hvorfor ville det ikke være nok at sikre sig en kopi af systemet, hvor det jo er hardkodet ind, at login fungerer på denne uansvarlige måde, går jeg ud fra? Hvordan skulle GoMentor kunne løbe fra det?

Jeg vil understrege, at selv hvis du skulle fremkomme med gode eksempler på, hvad tilsynet kan have lavet i al den tid, så kan det i mine øjne ikke undskylde at sætte efterforskning over så sårbart privatliv. Og - som du faktisk selv skriver:

Særligt når Datatilsynet og politiets it-enhed i den grad er underbemandet.

Det er jo præcist der, hvor jeg gætter på, at skoen trykker, og hvor man som borger kan forvente af Datatilsynet, at de udviser samme mod som den norske tilsynsdirektør, og tør konfrontere politikerne med realiteterne, nemlig i dette tilfælde at de har alt for få ressourcer. Ja, man risikerer samme skæbne som formanden for klimarådet. Men der er et ansvar ved den slags poster, og det ansvar er overfor befolkningen, som har krav på, at man er ærlig overfor politikerne og ikke agerer alibi for en politisk dagsorden i strid med befolkningens interesser. Og det ville give langt mere datasikkerhed, hvis man fik ordentlige ressorucer, i stedet for at feje ressourcemangel ind under bordet som "efterforskning".
https://www.altinget.dk/artikel/176946-lilleholt-udskifter-formanden-for-klimaraadet(Og af hjertet tusind tak til Peter Birch Sørensen for til fulde at leve op til sit ansvar. Pinligt, men ikke overraskende, for Danmark, at det resulterer i en fyring)

Nis Peder Bonde:

Hvis jeg skal læse dit indlæg på samme måde, som du læser andres, så er dit synspunkt åbenbart, at det er helt i orden at smide en bunke mennesker med psykiske problemer af varierende alvorlighed, men dog alvorlige nok til, at de henvender sig til GoMentor, under bussen af hensyn til den større kamp for at få gennemtvunget overholdelse af GDPR?

Det er kynisk og ikke i orden, ganske enkelt!

Der er ingen, der undskylder GoMentor på nogen måde! De har sjusket, og skal fældes for det, og med en stor bøde, og jeg vil påstå, at det kan de sagtens blive, uden at man sætter 3 måneder af til at hente materiale, alt imens overgrebet på de pågældende vokser. Ellers må man fremlægge dokumentation for, at man ikke kan forfølge sagen uden 3 månders efterforskning.

Men under alle omstændigheder er det ikke i orden at priorietere efterforskning/overvågning over privatliv - det er jo faktisk en pointe i GDPR. Det er et direkte overgreb at bruge disse menneskers sjæleliv til at statuere et eksempel for the greater good. Ganske enkelt. Jeg vil gerne høre dig sige ansigt til ansigt med de ramte, at de desværre må finde sig i, at vi altså ikke lukker hullet, for vi skal lige se, om ikke vi kan få noget mere forbrydelse frem. Vil du stå ved det synspunkt, ansigt til ansigt?

Hvorfor sammenligner I ikke i stedet Datatilsynets efterforskning med politiets narkoenheder? Her kan efterforskning og bevissikring tage adskillige år, og i den tid er der desværre mange stakkels narkomaner, som dør.

Ja, og jeg går stærkt ud fra, at man slår til, når man så faktisk har beviserne. Det er jeg ikke overbevist om, at man har gjort her, det lyder ikke sandsynligt. At kaste intetanende borgere under bussen på denne måde af hensyn til efterforskning, svarer i stedet til at sige, at politiet ikke skal afværge mord - de skal kun efterforske dem, når de er sket.

GoMentor skal fældes, det er alle enige om. Men jeg vil gerne se direkte dokumentation fra Datatilsynet for, at denne fremgangsmåde er tvingende nødvendig, og ikke bare udtryk for enten kynisme eller ressourcemangel. Og jeg kan personligt simpelthen ikke komme i tanke om nogen omstændigheder, der kan undskylde fremgangsmåden - jeg lader muligheden stå åben, men jeg kan ikke få øje på, hvad det skulle være. Dine argumenter er i mine øjne i hvert fald ikke grund nok.

Hvis man vil finde et godt eksempel at statuere, så kan Datatilsynet vente til næste gang, der er læk af en stor gruppe borgeres kontonumre eller nogle magthavende politikeres mailkonti, hvor de kommunikerer med deres bagvedliggende pengemænd (dukkeførerne)! Sæt 3 måneder af til at efterforske, inden man gør noget for at stoppe lækagen og orientere de berørte. Så skal vi nok se løjer!!!

Men det ved vi alle ikke kommer til at ske. I disse situationer ville tilsynet rykke ud på 1/2 time og få stoppet miseren, for ellers ville de for alvor få politikere og borgere, som måske har mistet nogle tusind kroner på nakken.

I virkeligheden ville historien sikkert have endnu større effekt, hvis Datatilsynet var gået åbent ud og havde meddelt politikere og offentlighed, at de pga. ressourcemangel ikke havde mulighed for andet end at få hullet lukket, selv om de mistænker andre lovovertrædelser. De kunne gå ud og sige, at de ikke har mulighed for at efterforske sagen ordentligt. Det tror jeg faktisk ville have gjort indtryk på en del politikere i en sådan sag, men desværre tør de færreste offentlige ledere herhjemme slå i bordet på sammen måde, som direktøren for det norske datatilsyn: https://nrkbeta.no/2018/11/30/datatilsynet-mener-forsvarsministeren-ikke...​

Datatilsynet burde slå i bordet og åbent sige, at de ikke har en jordisk chance for at følge op på alle de sager, der i øjeblikket anmeldes, og at de skal have mange flere ressourcer, hvis reglerne skal håndhæves. Min påstand stand - indtil der er kommet en god forklaring på hændelsesforløbet - er, at det tør de ikke! ​

Prøv dog at få lidt perspektiv ind i den her vanvittige diskussion og prøv lige at tænke over, hvem der skyder på hvem og hvorfor!

It-Danmark forsøger lige nu at krisestyre, for nu kom den sag, som alle it-virksomheder har haft mareridt om: En sag som i den grad har potentiale til langt om længe at påtvinge branchen en helt ny standard for sikkerhed, som samtidig også vil øge sikkerhedsudgifterne mangefold.

For en it-virksomhed som GoMentor (og masser af andre lignende virksomheder) er hver en krone, som er spenderet på sikkerhed, det samme som en krone mindre til aktionærerne. Det kæmper aktionærernes brancheforening naturligvis imod, og hvad er da lettere og mere oplagt end at begynde at skyde på lige netop den myndighed, som er ansvarlig for at afsløre råddenskaben i lige præcis it-branchen.

Hvorfor overser Version2 dog den helt åbenlyse dagsorden fra brancheforeningen (!!!), og hvorfor vælger redaktionen i stedet - aldeles følgagtigt - at være kolportør for de tåbelige argumenter, som fremføres fra pengefolkene i denne branche. Vågn dog op, kom ind i kampen og afslør det “spin”, som pengefolkene prøver at give denne sag.

For hvad er det lige Datatilsynet har gjort, som skulle være så forfærdeligt? En sag som denne kan være ekstremt kompleks, og for at kunne holde hele vejen gennem retssystemet er det logisk, at det vil tage endog en rum tid før man får sikret tilstrækkeligt med beviser. Særligt når Datatilsynet og politiets it-enhed i den grad er underbemandet.

Her viser Version2 da også en grad af populistisk inkompetence, som virkelig savner sidestykke: At påstå, at Version2’ redaktion skulle være i stand til på to dage at gennemføre et seriøst og systematisk arbejde for at sikre beviser til en retssag som denne, er decideret pinligt!!!

Og så er der alle de fejlplacerede sammenligninger med fødevaretilsyn, Færdselsstyrelsen o.l. Come on! Hvorfor sammenligner I ikke i stedet Datatilsynets efterforskning med politiets narkoenheder? Her kan efterforskning og bevissikring tage adskillige år, og i den tid er der desværre mange stakkels narkomaner, som dør. Samfundsmæssigt er det imidlertid en acceptabel pris at betale for at kunne skabe den nødvendige afskrækkelseseffekt ind i de kriminelles cirkler.

Og det er jo præcis det, som er målet med GDPR: At skabe den nødvendige afskrækkelse for langt om længe at få flyttet samfundet i en retning, hvor man begynder at tage sikkerhed alvorligt frem for at angribe dem, som afslører de kriminelle it-virksomheder i at overtræde loven.

For det er lige netop det disse virksomheder er: Kriminelle! Det er man nemlig, når man overtræder landets lovgivning. En lovgivning, som er resultatet af demokratiske processer, og som vi alle burde være taknemmelige for endelig er blevet virkelighed, for den er til for at beskytte dig og mig mod en ligegyldig holdning til værdien af vores alle sammens personoplysninger - blot for at kunne tjene flere penge.

Nej Datatilsynet skal ikke skabe sikkerhed - det skal de “såkaldt” dataansvarlige. Og her kan man kun håbe, at en sag som GoMentor kan bidrage til at skabe den frygt i it-branchen, som er nødvendig for, at man næste gang tænker sig noget bedre om, inden man sætter uduelige udviklere til at kode samfundskritiske systemer eller sætter uduelige chefer til at presse ellers dygtige udviklere til at levere programkode af rystende dårlig kvalitet. Bare fordi man kan og fordi det aldrig før er blevet straffet.

Så til Version2 og alle I andre, som ellers normalt gerne vil kæmpe for det, som GDPR kalder “de registreredes rettigheder og frihedsrettigheder” (for ikke at tale om udvikleres ret til at frembringe god kode uden pinagtige sikkerhedsbrister): Åben dog øjnene og se, hvad det her handler om! Afslør It-brancheforeningen og begynd i stedet at belyse, hvordan virksomheder skal til at blive ansvarlige for, at de kan blive støtter for en sikker, digital samfundsudvikling!

Jeg synes ledere giver udtryk for en holdning eller undskydning over for et privat firma som IKKE HAR VÆRET DERES OPGAVE OG ANSVAR VOKSEN. og som HAR DET FULDE ANSVAR FOR DATA OG SIKKERHED. og som nu prøver at tørre deres ansvar for dette af over for datatilsynet.

Det er politiets opgave at gribe ind, når der er borgere, der udsætter andre borgere for fare. Og jeg har troet, at det var Datatilsynets opgave at gribe ind, når borgerens privatliv er i fare. Hvis det ikke er det, så må vi have lavet systemet om, så nogen har det ansvar. Ellers så gider jeg ærligt talt ikke høre et ord mere om, at vore myndigheder gør noget som helst for at beskytte vore data, for det gør de ikke.

Jeg kommer til at tænke på, at jeg for nogle år siden opdagede, at en læge snagede i mine sundhedsdata. Det var et helvede at opklare, hvem det skulle meldes til - alle meldte hus forbi, prøv en anden: Politiet, embedslægen, Datatilsynet, ministeriet. Til sidst endte sagen alligevel hos Datatilsynet, som efter en meget laaaaaang "efterforskning" (jeg tror der gik over 1/2 år) endte med at melde manden til politiet - hvor sagen sikkert stadig ligger, for jeg har aldrig hørt om noget udfald af sagen derfra.

Men i mit tilfælde var der ikke tale om terapioplysninger eller hul ud til nettet, og som jeg husker det, sendte Datailsynet ret hurtigt en besked til manden om at nære sig, og i øvrigt komme med en god forklaring. Og jeg kunne selv via sundhed.dk følge med i, om han gik ind igen. Det, der frustrerede mig meget var, at selve hullet ikke blev lukket - læger har adgang til mange sundhedsoplysninger via deres journalsystemer, og den adgang ville man ikke tage fra ham. Og man kunne af en eller anden grund ikke blokere for hans adgang til bare mine oplysninger. Så jeg måtte leve med, at han fortsat kunne gå ind, og så håbe på, at han ikke gjorde det. Meget utilfredsstillende, men dog ikke helt så slemt som i denne sag.

Enten svigter myndighederne deres ansvar her, eller også er der noget, som er skruet helt forkert sammen i systemet på dette område.

"Leder: Datatilsynet glemte sin vigtigste opgave: at stoppe lækager"

Det har heller aldrig, selv under den gamle lov været tilsynes opgave. Det har været at modtage indberetninger og sprøgmål om databaser og vejlede. - Før have de ikke magt til andet.

Hvis dette var tilsynes (nye) vigtigste opgave, så skulle de have mange flere beføjelser og ansatte. Som retten til at lukke adgang til nettet for alle offenlige og private firmaer, som behandle persondata. Som

• ikke har sikkerheds opdateret deres software.
• Ikke har en godkendt og uddannet administrator
• Ikke har krypteret alt data
• Ikke ...

Data tilsynes hovede opgave er at sikre overholdelse af loven.Herunder nu mulighed for store børder. I dag så store, at de heldigvis også virker preventiv.

Så jeg synes at tilsynes vigtigste opgave idag, er ved overtrædelse at give så store børder, at firmaer ikke tør andet ind at få styr på sikkerheden. Det have GoMentor så langt fra, snare tværtimod, virket som meget amatør aktigt.

Jeg synes ledere giver udtryk for en holdning eller undskydning over for et privat firma som IKKE HAR VÆRET DERES OPGAVE OG ANSVAR VOKSEN. og som HAR DET FULDE ANSVAR FOR DATA OG SIKKERHED. og som nu prøver at tørre deres ansvar for dette af over for datatilsynet.

Hvis de skulle have andre opgave så skulle de have langt flere resurser.

De eneste med offenlige instanser med resusruser til at være aktiv er forsvaret /pet som har fået rigtigt mange penge. Men de har slet ikke fået dette til opgave, selv om det var oplagt. Det er åbenbart ikke så vittigt at sikere egen infrakstruktur, som at overvåge og indsamle data om befolkningen, og kunne angribe "modstanderen"

Konsekvenser - som store bøder virker - også her.

Det kan godt være man lige her ikke får lukket hullet med det samme, men hvis der kommer en sag ud af dette, eller andre ligende !

Så kan det have en stor preventiv virkning.

Tror at datatilsynes lige nu er ved at lede efter noge rigtigt gode sager for dem, altså en hvor det er tydeligvis fejl og mangler på grund af svig, svigt, dovenskab, dårligt ledelse, manglende omtanke, ... Og hvor de nemt kan løse bevis byrden.

Så vil de give nogle 2% eller 4% børde, som de råber stort ud i pressen, også elllers tage på badeferie igen.

"Hvor inkompetent har man lov til at være når man arbejder med dybt følsomme oplysninger?"

Selv min læge, kræver et engangs password, sent via mail eller SMS. Det vil også have været nemt her for GoMentor. Hvis de selv mener, de er den største protal i norden, så burde de også have resurser til noget så enkelt. Det her er at tørrre ansvar over på Data tilsynes for egen manglende evner og fejl

Hvis man vil have både datasikkerhed og retssikkerhed fra Datatilsynets side, så er de da nødt til at lave dawn raids i den slags sager.

Duk op med en dommerkendelse en tidlig morgen og bed om at få en kopi af hele miljøet, og se så at få lukket hullet så alle kan komme videre (jeg forsimpler lige hele opgaven, som kun en lægmand uden brancheforståelse kan gøre det. Sorry.)

Men det kræver nok lidt flere beføjelser end de render rundt med i baglommen lige nu...

Enig i at 3 måneder er alt for lang tid og at terapi-patienterne bliver taget som gidsler i den langvarrige efterforskning. Man burde kunne efterforske nok et par dage og maks en uges tid til at få sikret basale beviser - og så give virksomheden besked.

Men hvem har ansvaret for sikkerheden på GoMentors hjemmeside? Det er GoMentor. Tilsynet er et tilsyn, ikke en konsulentvirksomhed.

Og personligt mener jeg det er himmelråbende inkompetence hvis man som det lader til har brugt telefonnummeret som adgangnøgle til så følsomme bookninger: Det lød jo som om man manuelt eller med script kan prøve telefonnumre af og så ændre email og adgang til alt hvad der er registreret. Så kan man jo hurtigt undersøge en masse kendissers bookinger hvis man har deres telefonnumre og skrive om det i Se & Hør...

Hvor inkompetent har man lov til at være når man arbejder med dybt følsomme oplysninger?

Jeg tror ikke, at man kan stille det så sort/hvidt op.

Det er tydeligt fra GoMentor tilbagesvar til Ann, at de mener, at der er tale om noget ganske unikt, vel nærmest som at se en lyserød enhjørning, og det vist mest var en fejlindtastning fra brugerens side, som bare lige skulle rettes, så var den i skabet.

Vi bliver nødt til at se Datatilsynets ageren i det lys ... og i lyset af alle de andre sager, hvor man har haft langt mere travlt med at skyde sendebud end at kigge indad. Politianmeldelser for hacking forekommer alt, alt for ofte, og jeg kan se af Anns svar i anden debat her på sitet, at det også var noget, som har fyldt en del for hende.

Og jeg er ikke et øjeblik i tvivl om at "IT-branchen" ville elske, hvis vi vendte tilbage til en situation, hvor Datatilsynet nøjes med at udtrykke misbilligelse på skrift, med fremhævet som yderste konsekvens.

Fra lederen:

Det ville svare til, at fødevaremyndighederne ikke slog alarm og lukkede en butik med det samme, hvis de fik tip om et sted, hvor teknikken er i udu, og varerne rådner i kølemontrerne – fordi man først skulle indhøste bevismateriale og undersøge, om der var flere problemer i butikken. Det er oplagt, at en sådan prioritering ville være helt forkert.

Den dag, hvor jeg ser en butik blive lukket af Datatilsynet, så ville jeg måske anerkende analogien. Og inden vi begynder at tale om uanmeldt inspektion, så skal vi også huske, at det er markant nemmere for fødevaremyndighederne at checke temperatur, holdbarhedsdatoer og rengøringstilstand, end det er for Datatilsynet at danne sig et overblik over (u-)sikkerhedsniveauet i et IT-system. Og trods det, så er vores førevaremyndigheder langt bedre bemandet end Datatilsynet.

Skal vi lave analogier, så er der snarere tale om, hvorvidt man skal lade rederen lappe hullerne i hans plimsollere et ad gangen ... og i øvrigt at læne sig tilbage indtil det er Datatilsynet, som løfter pegefingeren fremfor at skulle lytte til almindelige henvendelser. Her ville det virke bedre på hele branchen, hvis man effektivt fik stoppet de fartøjer, som ikke er sødygtige. Også selvom det kræver en sag, som kan holde i retten.

Men derfor kan vi godt diskutere om Datatilsynet kunne have handlet anerledes. Og mon ikke de lige skal vænne sig til en situation, hvor de kan andet end misbillige på skrift med fremhævet - with great powers comes great responsibility. Hverken Datatilsyn eller Politi er kendt for at være hurtige, og der kunne man godt ønske sig meget mere.

Men først skal vi lige blive enige om, hvorvidt vi tror på at dette er uskyldigt (så gør det ikke noget at tage sig tiden til at være grundig) eller alvorligt (så er det vigtigt at komme helt i bund).

PS: Og er det virkelig Datatilsynets vigtigste opgave at sikre imod lækager (svarer det ikke til at sige, at det ikke gør noget, at en ting er forkert eller måske direkte ulovlig, bare det ikke bliver opdaget)? Og hvis ja, er det foreslåede alternative handlingsmønster så virkelig det rette? Og ved vi nok om den konkrete sag til at kunne sige det?

Enig i at Datatilsynet har svigtet sin fornemmeste rolle, og har ikke varetaget borgerens beskyttelse og interesser, som burde være, deres fornemmeste opgave.

Tak.