Leder: Læk af udsat piges adresse kalder på selvransagelse

Illustration: the_lightwriter/Bigstock

Det er helt utilstedeligt, at en far ved et simpelt opslag på skolernes og forældrenes nye kommunikationsplatform, Aula, har fået adgang til adresse, skole og navne på plejeforældrene til sin mindreårige datter, der ellers havde adressebeskyttelse pga. selvsamme far.

Sagen, som Ingeniørens it-medie Version2 omtalte i denne uge, melder ikke noget om, hvorfor pigen havde adressebeskyttelse, men typisk gives det efter f.eks. trusler, stalking, vold, eller i værste fald når der er risiko for æresdrab. Så her er ingen tvivl om, at det er en ganske alvorlig sag for pigen, at hendes opholdssted nu er afsløret for faren. Og det er en sag, der med al tydelighed understreger, hvorfor privacy ikke bare er et spørgsmål om principiel modstand mod overvågnings­samfundet, men dødsens alvor.

Blotlæggelsen af bopæl mv. i den konkrete sag skyldes en forkert opsætning i et KMD- system, som er systemteknisk bindeled mellem CPR-registret og Aula. Et flueben skulle have været fjernet i en tjekboks, det blev det ikke, og så var adressen sluppet fri. Det er strengt taget en menneskelig fejl, men den egentlige fejl ligger i designet af et system, der tillader, at den slags ‘lette’ fejl overhovedet kan opstå og skabe så svære problemer.

Helt grotesk bliver sagen, når man ser på de advarsler, som blev rejst over for det daværende økonomi- og indenrigsministerium i 2015 i forbindelse med vedtagelsen af loven om særlig adressebeskyttelse, som typisk kunne gives til personer, der er truet af vold eller drab.

Mødrehjælpen udtrykte nemlig over for ministeriet sin tvivl om kommunernes motivation til at hemmeligholde borgernes adresse i alle led, hvorfor ministeriet lovede at indskærpe over for kommunerne, at de skulle sikre en gennemgående beskyttelse af adresser på tværs af fagsystemer og andre it-systemer, som mange brugere har adgang til.

Ikke desto mindre er det netop kommunernes eget it-fællesskab, Kombit, der er projektejer på Aula, og som har ansvaret for det alvorlige læk af pigens personlige data. Adressebeskyttelsen er simpelthen ikke indarbejdet godt nok i systemet. Det til trods for, at både ‘Den fællesoffentlige digitaliseringsstrategi 2016-2020’ og en tilhørende vejledning fra Justitsministeriet, Datatilsynet og Digitaliseringsstyrelsen understreger, at dataansvarlige skal designe teknikken, så den sikrer databeskyttelse.

Aula-lækket sår alvorlig tvivl om, i hvor høj grad de fine ord på papir er slået igennem i virkeligheden. I et gennemdigitaliseret samfund som det danske er det helt nødvendigt, at myndighederne har ressourcer til at undersøge beskyttelsesniveauet i de store offentlige it-systemer, som rummer data på mange borgere, inden der sættes strøm til.

Det er desværre langtfra første gang, at it-systemer utilsigtet lækker fortrolige og personlige data. Ifølge Politiken har adresser på yderligere ti børn, der skulle have haft adressebeskyttelse, ligget ubeskyttet i Aula. For nogle år siden kunne rejsekortbrugere gå ind og se andre brugeres rejsemønstre og deres navn og adresse – også brugere med adressebeskyttelse. Og kabel-tv-selskabet Yousee har lækket næsten 10.000 hemmelige telefonnumre og adresser, men kontaktede først brugerne to måneder efter lækket.

Sagerne viser, at der er behov for, at privacy by design ikke bare er noget, vi taler om. En mere grundlæggende diskussion af, hvilke oplysninger de store systemer skal indeholde, er også nødvendig. Hvorfor skal Aula omfatte postadresser, hvis kommunikation med hjemmet foregår digitalt? Og med hvilken ret og hvilket reelt behov beder Rejsekort A/S om, at vi skal indberette vores adresse?

Digitaliseringen går i stigende grad mod at smelte databaser sammen, bl.a. inden for sundhed, uddannelse og skat, og altså mod at udvikle systemer, der er både bredere, dybere og mere forbundne. Det er en farlig udvikling, når man samtidig gang på gang demonstrerer, at man tydeligvis ikke formår at erkende, overskue og håndtere de problemer, det skaber.

Børne- og Ungdomsforvaltningen i København har i et notat for et år siden understreget, at privacy by design er et væsentligt krav i forbindelse med indkøb af nye it-systemer. Det er ikke godt nok. Privacy by design skal være et krav for alle it-systemer, der behandler persondata, og i særdeleshed, når data kan misbruges til udøvelse af vold mod andre.

/hm

Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Frimann

at man tager IT fagligheden seriøst de steder, hvor beslutningerne tages. Det nytter ikke, at man gang på gang på gang sidder IT-faglige (også IT-sikkerhedsfaglige) argumenter overhørige, og prioriterer dem mindre end overholdelse af tidsplaner, snævre interesser og misforståede økonomiske forhold.

// Jesper

  • 9
  • 0
Christian Schmidt

Hvorfor skal Aula omfatte postadresser, hvis kommunikation med hjemmet foregår digitalt? Og med hvilken ret og hvilket reelt behov beder Rejsekort A/S om, at vi skal indberette vores adresse?

Det er et relevant spørgsmål.

Jeg gætter på, at Rejsekort henter vores adresse, bare så de har den, hvis de nu engang skulle have behov for at sende os en opkrævning med posten. Det samme gælder mange af de firmaer og myndigheder, som abonnererer på min adresse via CPR-registeret. Det er et fåtal, som sender mig breve eller aflægger mig besøg.

Iflg. GDPR må man kun behandle personoplysninger, når man har et sagligt formål. Det kan diskuteres, om det er sagligt at behandle en masse oplysninger om folk, som man for 99 % af personernes vedkommende ikke har brug for. Hvis man har adgang til CPR-registeret, kan man vel let slå adressen op for konkrete borgere, når behovet opstår.

  • 8
  • 0
Jørn Wildt

Hvorfor skal Aula omfatte postadresser, hvis kommunikation med hjemmet foregår digitalt?

Aula bruges jo også som adresseliste blandt børn og forældre i klasserne. Det bliver lidt bøvlet hvis alle børn som udgangspunkt er usynlige for andre i klassen når der skal laves legeaftaler. Så skal der i hvert fald indbygges et eller andet let tilgængeligt "anmodningssystem" ind.

(skrev først "andmodningssystem" ... det kunne ellers være meget sjovere :D)

  • 0
  • 1
Mogens Lysemose

Rigtig god leder, jeg er 100% enig!

Overvågnings-jubel-optimisterne plejer jo at sige at "hvis man ikke har noget at skjule har man ikke noget imod overvågning og deling af informationer".

Det argument har jeg svært ved at forestille mig dem komme med i denne sag: Pigen har helt sikkert noget at skjule, men det er ikke hendes skyld; hun er jo ofret.

  • 7
  • 0
Bjarne Nielsen

Det bliver lidt bøvlet hvis alle børn som udgangspunkt er usynlige for andre i klassen når der skal laves legeaftaler.

Hvad gjorde folk før Aula? Talte sammen?

Og hvem siger, at folkeregisteradressen er relevant for denne uges legeaftaler? Eller at det er særligt fedt at være den eneste, som, af forskellige årsager, ikke har en adresse?

Mao.: er der virkelig ikke mindre uvigtige behov end lidt bekvemmelig ifm. etablering af legeaftaler?

  • 8
  • 1
Preben Jørgensen

En meget logisk forklaring på, at rejsekortet skal have din postadresse er, at hvordan skulle de ellers kunne sende dig dit rejsekort, når du bestiller det, eller skal forny det.
Det er, trods alt, endnu ikke muligt at overføre det digitalt. -:)

  • 0
  • 0
Log ind eller Opret konto for at kommentere