Offentlige myndigheder sender personfølsomme oplysninger med ukrypteret mail til forkerte modtagere

En høring i retsudvalget onsdag efterlod et indtryk af, at it-sikkerheden af persondata sejler hos både staten, kommuner og hos myndighedernes eksterne leverandører.

Der var ikke mange formildende ord tilovers for de offentlige myndigheders behandling af borgernes personfølsomme oplysninger.

Onsdag var der høring i retsudvalget i Folketinget, hvor en særligt nedsat arbejdsgruppe om datasikkerhed havde indkaldt en række sikkerhedseksperter til at tage bestik af it-sikkerheden i det offentlige. Og resultatet var ikke til at tage fejl af.

Især står det grelt til med medarbejdernes daglige håndtering af borgernes personfølsomme oplysninger ifølge Datatilsynet.

Gentagne gange havde Datatilsynet taget medarbejdere i at sende ukrypterede mails med borgeres personfølsomme oplysninger, der også i nogle tilfælde havnede i hænderne hos forkerte modtagere. Og det på trods af, at alle myndighederne har mindst én løsning til at sende krypteret post ifølge Datatilsynet.

»Det må kunne gøres bedre. Vi har mange gange været nødt til at gøre opmærksom på, at der er behov for mere instruktion af medarbejdere. Og jeg frygter, at de steder, hvor vi har set problemer, ikke er de eneste,« sagde kontorchef i Datatilsynet Lena Andersen under høringen.

Dette billede blev bekræftet af Steen Bernt Jensen, der er chefkonsulent hos Rigsrevisionen:

»Hvis man ser på de statslige myndigheder generelt, så er der rigtig mange virksomheder, som behandler personlige data, som om de ikke var personlige data.«

Rigsrevisionen lavede i 2013 et sikkerhedstjek af en række offentlige virksomheder, hvor den fandt, at stort set ingen levede op til bare tre helt basale sikringstiltag.

Læs også: Statens It efter Rigsrevisions-prygl: Sikkerheden er da bedre end sidste år

Blandt andet var der ikke nogen af virksomhederne, der havde begrænset download af programmer fra internettet. Der var heller ikke nogen, der havde begrænset brugen af lokale administratorer. Nogle enkelte havde sat procedurer for at opdatere programmerne op, men de programmer, der skulle have været opdateret, viste sig ikke at være det endnu.

Der var desuden heller ikke nogen af virksomhederne, som havde overvejet risikoen for hackerangreb.

»Vi fandt, at de data, som virksomhederne havde ansvar for, ikke var tilstrækkeligt beskyttet. Med det sikkerhedsniveau var der en ret stor risiko for hackerangreb og misbrug af data,« sagde Steen Bernt Jensen.

Manglende stikprøver i borgerservicecentre

Blandt myndighedernes eksterne databehandlere er der også problemer med at få givet de rette sikkerhedsinstrukser til medarbejderne ifølge Datatilsynet.

»På nogle inspektioner har vi konstateret, at der manglede kendskab til, hvordan meget følsomme oplysninger om børn var beskyttet. Og man vidste heller ikke, hvilket firma der håndterede oplysningerne i det daglige,« sagde Lena Andersen.

Hun løftede ikke sløret for, hvilke konkrete myndigheder og leverandører der var mål for kritikken, men Datatilsynet har tidligere offentliggjort, hvordan blandt andet Rebild Kommune har forbrudt sig mod persondataloven ved at sende personfølsomme oplysninger ud via ukrypteret mail.
Det sidste års tid har Datatilsynet lavet inspektioner af borgerservicecentre rundt om i landets kommuner, hvor der i flere tilfælde heller ikke blev levet op til sikkerhedskravene.

Det er en del af myndighedernes ansvar at have tilsyn med deres databehandlere, heriblandt at føre stikprøvekontrol med loggen.

»Alligevel viser det sig, at den stikprøvekontrol ikke sker. Nu vil vi ud at se på det i andre kommuner,« siger Lena Andersen.

Ønske om straf til de ansvarlige bag sikkerhedsbrister

Budskabet fra Kommunernes Landsforening (KL) var dog mere optimistisk under høringen:

»Jeg mener, at kommunerne gør det rigtig godt. Vi sætter en stor ære i at passe på borgernes data,« sagde Henrik Brix, der blandt andet er medlem af KL’s it-kontaktudvalg og formand for kommunernes IT-Arkitekturråd, under høringen.

»Det er ikke de helt store sager, der har været. Og fordi der er fodfejl, er det ikke ensbetydende med, at data er blevet kompromitteret,« sagde han.

Det er i dag begrænset, hvor mange myndigheder Datatilsynet laver stikprøver hos. Datatilsynet vælger et område som fx borgerservicecentre ud og fokuserer således på dem. Og i de tilfælde, hvor Datatilsynet opdager noget kritisabelt, kan det maksimalt udløse en løftet pegefinger.

Derfor pegede Lena Andersen også på muligheden for at udvide Datatilsynet og at undersøge muligheden for at kunne straffe de myndigheder, der overtræder persondataloven.

Dette sidste synspunkt blev understøttet af freeBSD-udvikleren og Version2-bloggeren Poul-Henning Kamp, der også deltog i høringen.

»Det er kun et spørgsmål om tid, før computere begynder at slå folk ihjel. Og det rejser så spørgsmålet om, hvem der er ansvarlig for den computer, der slår folk ihjel. Måden, man løser uløselige problemer i jura på, er, at man gør det til nogens problem,« sagde han under høringen.

Læs også: Spætter, spætter overalt...

Der er dog også andre måder at styrke it-sikkerheden på ifølge Rådet for Digital Sikkerhed.

Eksempelvis ved at bringe it-sikkerhed ind i virksomhedernes risikoanalyser og skrive krav til sikkerheden ind i det offentlige udbudsmateriale.

»Vi laver risikoanalyser på mange måder i dag, så vi skal bare have it-sikkerheden med ind i det. For så vil det være et naturligt incitament til at øge sikkerheden,« sagde formanden for Rådet for Digital Sikkerhed, Birgitte Kofod Olsen, under høringen.

Hun påpegede også behovet for en whistleblower-løsning, så it-medarbejdere har mulighed for at afsløre sikkerhedsbrister uden at frygte repressalier fra arbejdsgiverne.

Rigsrevisionen er i øjeblikket ved at lægge sidste hånd på en systematisk undersøgelse af otte store virksomheder, og hvordan de lever op til sikkerhedsbekendtgørelsen. Undersøgelsen bliver taget op af statsrevisorerne den 12. november i år.

Se høringen på Folketingets tv-kanal.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ole Laursen

Hvis man sender følsomme oplysninger til en forkert adressat, så hjælper det kun lidet, hvis man krypterer dem. De havner stadig et sted, hvor de ikke burde havne (men måske ikke alle mulige andre steder også).

Nemlig. Jeg har også ved en eller to lejligheder fået papirbreve skrevet til en anden. Ukrypterede papirbreve - tænk sig!

Det kunne være fedt hvis Datatilsynet ville opgive deres korstog mod email, jeg ville i hvert fald gerne have muligheden for at melde mig ud af e-boks og Digital Post og have mulighed for selv at styre risikoen i stedet for at overlade den til KMD.

  • 8
  • 0
Anders Reinhardt Hansen

Det kunne være fedt hvis Datatilsynet ville opgive deres korstog mod email, jeg ville i hvert fald gerne have muligheden for at melde mig ud af e-boks og Digital Post og have mulighed for selv at styre risikoen i stedet for at overlade den til KMD.

Det kunne være fedt at offentlige myndigheder og private aktøre holdt op med at bruge deres email system til personfølsomme oplysninger hele tiden! Det er i høj grad et problem da informationen stort set altid overføres uden kryptering. Det ses der stort på i effektiviseringensm navn.
Bemærkninger som: "Det har vi fået at vide at vi godt må" eller "Det er jeg nød til fordi det ellers er for besværligt og tager lang tid", er voldsomt provokerende på mig som borger, fordi det skyldes at borgernes personfølsomme oplysninger bliver behandlet skødesløst. Se f.eks. sagen om Datafangst hos regionerne og privat praktiserende læger.

  • 3
  • 1
Bo Zachariasen

Dem der håndterer følsomme oplysninger skal påtage sig ansvaret for, med omhu, at håndtere oplysningerne forsvarligt. Ligesom at myndighederne pålægger førren af et køretøj at køre forsvarligt og gør han ikke det - så falder hammeren - også selv om det var en fejl (uagtsom). Det vi her er vidne til viser at den syge der hersker i folkeskolen mere er normen end et isoleret tilfælde i det offentlig. Der hersker en ladhed, ligegyldighed og lemfeltlighed uden lige.

Oplysninger sendt i en e-mail gemmes på et antal mail servere som ikke er sikret. Serverne er ofte placeret uden for danmarks grænser og kan være underlagt fremmede magtes tilbøjeligheder (NSA). Udlændinges oplysninger er ikke underlagt de samme reguleringer som egne borgeres oplysninger er underlagt.

Heeelt tilbage i 2008 udtaler Datatilsynet:
http://www.datatilsynet.dk/borger/sikkerhed/fortrolige-personoplysninger...
"Når man sender en almindelig e-mail, svarer det til, at man sender et åbent postkort."

Sving pisken og bødeblokken!

  • 6
  • 0
Ole Laursen

Det er i høj grad et problem da informationen stort set altid overføres uden kryptering.

Email kan sagtens sendes med TLS. Hvis du insisterer på at få dine emails end to end-krypterede, kunne man måske arbejde mod at de offentlige myndigheder skulle bruge PGP/GPG med din offentlige NemID-nøgle. Det kunne være smart. E-boks er derimod idioti.

Men tilbage i virkelighedens verden fungerer email fint. Jeg har aldrig hørt nogen brokke sig over at få emails fra private afsendere.

Oplysninger sendt i en e-mail gemmes på et antal mail servere som ikke er sikret. Serverne er ofte placeret uden for danmarks grænser og kan være underlagt fremmede magtes tilbøjeligheder (NSA). Udlændinges oplysninger er ikke underlagt de samme reguleringer som egne borgeres oplysninger er underlagt.

Hvis DU vælger at bruge en udenlandsk email-udbyder, så er det DIT problem hvad der sker med dataene - ligesom hvis du vælger at have postadresse i Nordkorea, så må du finde dig i at myndighederne der måske åbner dine breve.

Dertil må jeg lige rette din udlægning af SMTP. Det er jo ikke sådan at emails bare bliver forwarded tilfældigt rundt, de går normalt nogenlunde direkte fra afsender til modtager, forbindelserne herimellem kan krypteres og med en offentlig afsender i den ene ende burde de have muligheden for at sikre den - mens sikkerheden i den anden ende er din emailudbyders ansvar.

Med en lille smule kreativitet kunne den offentlige afsender endda advare mod ukrypterede modtagerservere, eller henvise til en offentlig liste over udbydere der opfylder visse sikkerhedskrav på deres servere.

Men i stedet har nogle lidt for kloge hoveder valgt E-boks, og resultatet er nok dårligere sikkerhed fordi folk selvfølgelig bruger det eneste fornuftige, bredt anvendelige kommunikationsmiddel, nemlig email, som i øvrigt ikke er en proprietær, lukket standard som man skal betale KMD for at bruge.

  • 3
  • 0
Mogens Rasmussen

Man tvinger folk til at anvende EDB i stedet for postbreve,- kunne man så ikke i det mindste få det offentlige til at gøre det samme! Ingen i offentlige myndigheder er ansvarlig for EDB-sjusk etc..= De drøner bare videre uden hensyntagen til noget som helst! Ansvarlighed ville sikkert hjælpe gevaldigt på problematikken!

  • 1
  • 0
Albert Nielsen

Man må spørge, hvor mange af de lovovertrædende ansatte og deres ansvarlige chefer, der er blevet tiltalt med bøde, hæfte eller fængsel i vente, sådan som det overgår danske statsborgere i Danmark, hvis de begår fejl i forhold til offentlige myndigheder.

Skal vi gætte på 0 (nul), fordi de aldrig holdes ansvarlige, uanset hvilke lovovertrædelser de begår på en offentlig arbejdsplads?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize