*

Dette er en kronik skrevet af en ekstern kronikør. Jyllands-Posten skelner skarpt mellem journalistik og meningsstof. Vil du skrive en kronik? Læs hvordan her.

Kronik

Det store data-hasardspil

Staten spiller hasard med borgernes it-sikkerhed.

Cpr-numre på 90 pct. af den danske befolkning landede ved en fejl hos en afdeling af den kinesiske virksomhed Cits, China International Travel Service Group.

En venlig medarbejder dér afleverede de modtagne cd’er hos Danmarks Statistik.

Det danske datatilsyn vurderer, at hændelsen ikke har haft nogen faktiske konsekvens for de 5.282.616 personer, hvis data var indeholdt på cd’erne, og foretager sig derfor ikke yderligere i sagen.

Den konkrete sag og den generelle sikkerhedssituation i Danmark efterlader os med fire grundlæggende problemer.

For det første risikerer danske borgere, at uvedkommende får adgang til deres sundhedsdata, og at deres persondata misbruges, f.eks. ved at deres cpr-numre sælges på nettet og bruges til bedrageri og identitetstyveri eller til kategorisering som dårlige eller uønskede kunder. Af cpr-numre kan direkte aflæses oplysninger om alder, køn og fødselsdag samt udtrækkes oplysninger om den enkeltes adresse, hjemkommune eller lokalområde og boligtype, hvis oplysningerne beriges med oplysninger fra andre kilder.

Kinesisk firma: Vi har ikke set fejlleverede data

Og suppleres cpr-numrene på den baggrund med oplysninger fra sociale medier, kan der for hver dansker udarbejdes detaljerede profiler, som kan skade personens omdømme, muligheder på arbejdsmarkedet eller kreditværdighed og økonomi.

Vi kender ikke risikoens omfang i den konkrete sag. Cd’erne er pakket hos Statens Serum Institut, SSI, sendt med Postnord, åbnet hos Cits og derefter hos Danmarks Statistik.

Hvor mange medarbejdere der har kunnet få adgang til de personfølsomme oplysninger undervejs, ved vi ikke.

Sagen har derudover blotlagt svagheder i sikkerheden, der kan udnyttes af hackere og andre kriminelle.

Partier kalder sundhedsministeren i samråd efter cpr-læk

For det andet har vi nu en øget risiko for, at tilliden til danske myndigheder bliver reduceret.

Det er svært at stole på, at danske myndigheder behandler vores persondata med respekt for, at de tilhører den enkelte person og indretter deres arbejde efter det.

Bare det faktum, at SSI benytter to cd’er som medie til opbevaring af følsomme persondata på stort set hele den danske befolkning og sender dem samlet og ukrypteret med Postnord er tegn på, at hverken kontrolsystemer eller bevidsthed om risikoen for, at dataene kommer i de forkerte hænder, er til stede.

Din skostørrelse er mere hemmelig end dit cpr-nummer

Et tredje problem er knyttet til vækstpotentialet i dataanalyse. Man kan godt forklare den konkrete hændelse med menneskelige fejl. Men det ærgerlige er, at den viser en umoden sikkerhedskultur. Vi er det mest gennemregistrerede folk i verden og derfor sårbare over for massiv overvågning og uønsket indsigt i vores privatliv.

Persondata indeholder imidlertid potentiale til vækst og forandring, hvis vi håndterer dem klogt. Den konstruktive værdiskabelse via persondata til gavn for alle borgere og det danske samfund forudsætter dog helt entydigt kompetencer og vilje til at skabe sikkerhed og tillid til, at vore persondata behandles korrekt.

Borgere og forbrugere er stadig mere bekymrede over, at de ikke har kontrol over egne data og deres digitale privatliv. Og flere og flere begynder at handle på den mistillid med brug af adblockers og krypterede tjenester ved at bruge falske data, undgå at søge på bestemte ting, og vi har endda hørt om nogle, der er bange for at gå til lægen og få registeret mindre helbredsproblemer, som kan komme dem til skade senere.

Hvis denne mistillid eskalerer, vil de mange muligheder i big data gå tabt.

Effektiv sikkerhed og databeskyttelse opnås blandt andet ved brug af kryptering, pseudonymisering og generel respekt for og forsigtig omgang med andres data. Vi kan i dag analysere på krypterede data, så der er ingen grund til, at en sagsbehandler, en forsker eller en manager skal kunne se navn, adresse, alder og sundhedsoplysninger på specifikke personer for at udføre deres arbejdsopgaver.

Et nødvendigt skridt i en dansk sammenhæng er at fjerne cpr-nummeret og erstatte det med et løbenummer for hver enkelt transaktion eller behandlingsformål. Cpr-nummeret udgør et effektivt redskab for både myndigheder og virksomheder, men det udgør også en stadig større risiko for den enkelte borgers privatlivsbeskyttelse. Kender man fødselsdato og køn på en person, kan de sidste fire cifre i cpr-nummeret afsløres ved 40 gæt. Personnummeret er simpelthen ikke egnet til en digital tidsalder.

De manglende sanktioner i sagen udgør et fjerde problem. I lyset af udviklingen i den EU-retlige beskyttelse af privatliv og persondata er det overraskende, at sagen ikke fører til sanktioner.

Vi taler om, at stort set hele den danske befolknings grundrettighed til persondatabeskyttelse er tilsidesat. Bruddet er omfattende både i omfang og indhold – sundhedsoplysninger er nogle af de mest følsomme oplysninger, vi har. Og konsekvenserne for både den enkelte borger og for Danmark som land ligger uden for vores fatteevne.

Alligevel sker der ingenting.

Ingen alvorlig kritik af sundhedsministeren, af direktøren for SSI eller af de ansvarlige medarbejdere hos såvel SSI som Danmarks Statistik. I stedet ser vi en laissez faire-reaktion, hvor der blot henvises til, at der er tillid til, at den kinesiske medarbejder hos Cits ikke har kigget på cd’erne.

Den konkrete sag er derfor ikke kun et enkeltstående eksempel på dårlig informationssikkerhed, men illustrerer en brist i den danske opfattelse af vigtigheden af at beskytte borgernes data i en digital tidsalder, hvor persondata kun bliver mere og mere værd. Vi har endnu ikke indarbejdet beslutningsprocesser og arbejdsrutiner, der tager udgangspunkt i, at persondata tilhører den enkelte borger og ikke en forvaltningsenhed, et sundhedssystem eller en virksomhed.

Rigsrevisionen har da også flere gange udtalt skarp kritik af sikkerhedsniveauet i statslige institutioner, der behandler og modtager fortrolige persondata, herunder Danmarks Statistik.

Cybersikkerhed og privatlivsbeskyttelse er højt prioriteret i EU. Forordningen om persondatabeskyttelse knæsætter det enkelte menneskes ret til at kontrollere egne persondata og stiller skrappe krav til sikkerheden, bl.a. krav om kryptering af persondata, når der er risiko for, at dataene kan misbruges eller tilgås af uvedkommende. Et nyt direktiv stiller derudover krav om, at virksomheder og myndigheder, der oplever sikkerhedsbrud, skal indberette disse til tilsynsmyndigheden.

For at understrege alvoren af at krænke grundrettigheden til persondatabeskyttelse er forordningens sanktion for ikke at opfylde sikkerhedskravene fastsat som et bødekrav, der kan udgøre 10 mio. euro eller for virksomheder op til 2 pct. af deres årlige globale omsætning. Bødekravet gælder også for offentlige myndigheder – bare ikke i Danmark, hvor Justitsministeriet har formået at skrive sig ud af forpligtelsen for danske myndigheder.

Håndteringen af den konkrete sag tyder på en totalt manglende forståelse for, at persondata er en guldmine, der kræver effektiv beskyttelse.

Samlet råber hændelsen på en øjeblikkelig politisk reaktion, en synlig sanktion samt et niveau op i modenhed, hvad angår øget ansvarlighed og dataetik hos politikere, beslutningstagere og medarbejdere.

Følg
Jyllands-Posten
Velkommen til debatten
  • Når du kommenterer, accepterer du Jyllands-Postens debatregler
  • Har du spørgsmål? Find svaret her
Forsiden lige nu

Postnord-ansat: Det er noget rod, kære politikere

Eigil Johannesen, fællestillidsrepræsentant for HK’erne i Postnord Danmark
Hvordan kan ejerne være uforberedte på et dårligt årsregnskab?
Annonce
Annonce

Blog: Indvandring uden jordforbindelse

Mikael Jalving
Vesteuropa har aldrig nogensinde før oplevet en så massiv tilstrømning af mennesker med en helt anden kultur og religion end den almene.

Blog: Tabuet i mine trusser

Annika Smith
For få uger siden løj jeg en skotte lige op i ansigtet på grund af ting, der foregik i mit underliv. Det gør jeg ikke igen.

Blog: Mobilisering i yderområderne

Finn Slumstrup
Udkantsdanmark erkender stadig stærkere, at samarbejde er nødvendigt.

Debat: Foregangslande over hele verden siger nej til plasticfrås

Sophie Rytter, redaktør | Thomas Ravn-Pedersen, direktør Verdens Bedste Nyheder
Hvad har Californien, Rwanda og Marokko til fælles? De har droppet plasticposerne.
Annonce
Annonce

Jyllands-Posten anvender cookies til at huske dine indstillinger, statistik og målrette annoncer. Når du fortsætter med at bruge websitet, accepterer du samtidig brugen af cookies. Læs mere om vores brug her