Venstre: Datatilsynet skal stressteste it-leverandørers beskyttelse af personfølsomme data

Illustration: Virrage Images/Bigstock
Datatilsynet skal fremover stressteste blandt andet Nets for at finde sikkerhedshuller, lyder det i nyt udspil fra Venstre. Og bøderne for at lække data skal ikke længere være 'latterligt lave'.

Hvis det står til Venstre skal it-leverandører, der har med personfølsomme data at gøre, fremover stresstestes for at opdage sikkerhedshuller. Det er ét af ni punkter i et nyt udspil fra partiet, der skal styrke sikkerheden for personfølsomme data, skriver DR.

Ifølge Venstre skal Datatilsynet foretage stresstests hos eksempelvis Nets - samtidig skal Datatilsynet have flere ressourcer. Hvis opdagede huller ikke lukkes, skal der være en markant større bøde end i dag, lyder det fra Venstre, der kalder den nuværende største bøde for at slække på datasikkerheden på 25.000 for “latterlig lav”.

»Når der er en miljøskandale, så får man jo bøder i millionstørrelsen. Hvorfor gør man ikke det, hvis man ikke overholder datasikkerheden og behandler personfølsomme oplysninger forkert«? siger Venstres it-ordfører Michael Aastrup Jensen, der dog ikke har fastlagt sig på et bødebeløb, til DR.

Socialdemokraternes retsordfører, tidligere it-ordfører Trine Bramsen, kalder Venstres udspil for “et interessant indspark” i debatten om datasikkerhed. Her vil man dog afvente Justitsministeriets kortlægning på området for behandling af personfølsomme oplysninger, lyder det fra retsordføreren.

Her er de ni punkter, Venstre vil indføre efter Nets-skandalen,

  • Krav om sikkerhedsgodkendelse af medarbejdere, som har adgang til meget følsomme data
  • Pseudonymisering af følsomme data
  • Rollebaseret adgang til følsomme data, så ingen kan se det hele
  • Rotation af medarbejdere
  • Pop up ved logning som er uregelmæssigheder
  • Flere ressourcer til Datatilsynet
  • Stresstest
  • Højere strafferammer
  • Krav om åbenhed/offentliggørelse
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kevin Johansen

..og en gratis elefant når borgere fylder 18.

For det første er det vel resourcerne til Datatilsynet, straframmerne (som iøvrigt ER høje (læs: velproportioneret imo) for individer hvertfald) og åbenhed/offentlighed Venstre har indflydelse på.
De øvrige punkter mener jeg bør være opfyldt implicit i enhver leverandørs kontrakt.

At Venstre skulle være fortaler for mere åbenhed kan jeg kun se som en "oppositionsudtalelse". Det sker ikke når de først er i regering (hvem var det nu liiige der i første omgang foreslog ændring af Offentlighedsloven?).

Højere straframmer er direkte useriøst og lugter langt væk at catering for hævnlysten i befolkningen; et noget mere slagkraftigt værktøj ville vel være at give Datatilsynet hjemmel til at udstede dagsbøder og så fastsætte deres størrelsesinterval forholdsvis højt. Desuden har Datatilsynet vist nok hjemmel til at påbyde staten at opsige en kontrakt, såfremt der sker grove brud.

Og til sidst flere resourcer..ja hurra. Her er efter min mening meget realistisk bud på deres løsning:
Datatilsynet får tilført 5-10 millioner ekstra, men som led i partiernes "udkants" politik flyttes Datatilsynet til Langeland med med nyoprettede kontorer i Randers og Roskilde.

Lars Skovlund

Hvordan skal det foregå? Datatilsynet består vist i dag mestendels af jurister - vil man så kræve ansættelse af teknikere og tilsvarende forøge budgetrammen? Eller drukner det hele i (flere) audits og dokumentation? Hvilke adgange til de konkrete systemer skal disse teknikere have? osv.

Så mange spørgsmål, så få svar...

Alex R. Tomkiewicz

"De øvrige punkter mener jeg bør være opfyldt implicit i enhver leverandørs kontrakt."

Et problem med at det er implicit er at IT-leverandøren kan vælge at tage punktet som en business risk. Og det er vel i en udstrækning det vi nu ser omkring hele debatten omkring personfølsomme data og diverse lækager. Det er jo ikke fordi at folk nødvendigvis handler i ond tro, men vi er alle udstyret med en psykologisk mekanisme som gør at vi efterser gærdet og hopper over hvor det er lavest. For forretningsfolk kan det være specielt fordelagtigt at efterse gærdet inden et hop :-)

Martin Nielsen

Hvorfor ikke vende det hele på hovedet og give borgerne adgang til at se en log, der viser hvem der har kigget i ens data.

  • Hver gang man logger ind med sit NemID, vil det blive logget
  • Hver gang der kigges i ens patientjournal, vil det blive logget
  • Hver gang der bliver kigget i ens data hos Nets, vil det blive logget
  • Hver gang der bliver kigget i ens skattemappe, vil det blive logget
  • Hver gang der bliver kigget på ens straffeattest, vil det blive logget
  • Og så videre

Ganske simpelt vil det være en log for borgerne, hvor de kan se hvem og hvornår der bliver kigget i ens data. Hvis borgerne havde haft indsigt, ville kendte og andre hurtigt kunne se, når der var lige lovligt meget aktivitet på deres profiler i det offentlige og hos udvalgte private virksomheder.

Jeg er klar over at det aldrig ville have afsløret IBM-manden, men det vil afslører nysgerrige ansatte, der snuser i private personers data.

Og jeg kan ikke se, at de skulle have noget at skjule. Ringer jeg til Nets for at melde mit kreditkort stjålet og taler med Louise, så kan jeg efterfølgende se i loggen, at jeg har talt med "Louise (0956)". Men har jeg ikke haft ringet til Nets og har "Louise (0956)" været inde på min profil, så må det skyldes noget andet - og det skal jeg have mulighed for at reagere på. Så kan jeg starte med at tage kontakt til Nets, for at få en forklaring. Og var jeg kendt og kunne se at "Louise (0956)" kiggede i mine data med jævne mellemrum, ja, så var der med garanti noget galt.

Sammen med logningen, bør der også indgå data om de virksomheder der abonnerer på mine CPR data samt præcist hvilken type abonnement de har (altså hvad de har adgang til) samt en løbende log, der fortæller hvor ofte de henter nye data. Her kunne jeg også forestille mig at hver virksomhed skulle give en kort og præcis beskrivelse af, hvad de bruger abonnementet til.

Som udgangspunkt vil alle ærlige virksomheder, både private eller offentlige, ikke kunne have noget problem med at give borgerne indsigt i brugen af deres data. Tværtimod vil det blot gøre os mere trygge, når vi kan se at vores data ikke bliver tilgået i tide og utide - uden grund. Og skulle man være så uheldig at falde i kløerne på medier der bruger lyssky metoder, vil man selv have chancen for at opdage, at alt for mange kigger på ens data.

Log ind eller Opret konto for at kommentere