Annonce

Dette er en kronik skrevet af en ekstern kronikør. Jyllands-Posten skelner skarpt mellem journalistik og meningsstof. Vil du skrive en kronik? Læs hvordan her.

Kronik

Det store data-hasardspil

Staten spiller hasard med borgernes it-sikkerhed.

Cpr-numre på 90 pct. af den danske befolkning landede ved en fejl hos en afdeling af den kinesiske virksomhed Cits, China International Travel Service Group.

En venlig medarbejder dér afleverede de modtagne cd’er hos Danmarks Statistik.

Det danske datatilsyn vurderer, at hændelsen ikke har haft nogen faktiske konsekvens for de 5.282.616 personer, hvis data var indeholdt på cd’erne, og foretager sig derfor ikke yderligere i sagen.

Den konkrete sag og den generelle sikkerhedssituation i Danmark efterlader os med fire grundlæggende problemer.

For det første risikerer danske borgere, at uvedkommende får adgang til deres sundhedsdata, og at deres persondata misbruges, f.eks. ved at deres cpr-numre sælges på nettet og bruges til bedrageri og identitetstyveri eller til kategorisering som dårlige eller uønskede kunder. Af cpr-numre kan direkte aflæses oplysninger om alder, køn og fødselsdag samt udtrækkes oplysninger om den enkeltes adresse, hjemkommune eller lokalområde og boligtype, hvis oplysningerne beriges med oplysninger fra andre kilder.

Kinesisk firma: Vi har ikke set fejlleverede data

Og suppleres cpr-numrene på den baggrund med oplysninger fra sociale medier, kan der for hver dansker udarbejdes detaljerede profiler, som kan skade personens omdømme, muligheder på arbejdsmarkedet eller kreditværdighed og økonomi.

Vi kender ikke risikoens omfang i den konkrete sag. Cd’erne er pakket hos Statens Serum Institut, SSI, sendt med Postnord, åbnet hos Cits og derefter hos Danmarks Statistik.

Hvor mange medarbejdere der har kunnet få adgang til de personfølsomme oplysninger undervejs, ved vi ikke.

Sagen har derudover blotlagt svagheder i sikkerheden, der kan udnyttes af hackere og andre kriminelle.

Partier kalder sundhedsministeren i samråd efter cpr-læk

For det andet har vi nu en øget risiko for, at tilliden til danske myndigheder bliver reduceret.

Det er svært at stole på, at danske myndigheder behandler vores persondata med respekt for, at de tilhører den enkelte person og indretter deres arbejde efter det.

Bare det faktum, at SSI benytter to cd’er som medie til opbevaring af følsomme persondata på stort set hele den danske befolkning og sender dem samlet og ukrypteret med Postnord er tegn på, at hverken kontrolsystemer eller bevidsthed om risikoen for, at dataene kommer i de forkerte hænder, er til stede.

Din skostørrelse er mere hemmelig end dit cpr-nummer

Et tredje problem er knyttet til vækstpotentialet i dataanalyse. Man kan godt forklare den konkrete hændelse med menneskelige fejl. Men det ærgerlige er, at den viser en umoden sikkerhedskultur. Vi er det mest gennemregistrerede folk i verden og derfor sårbare over for massiv overvågning og uønsket indsigt i vores privatliv.

Persondata indeholder imidlertid potentiale til vækst og forandring, hvis vi håndterer dem klogt. Den konstruktive værdiskabelse via persondata til gavn for alle borgere og det danske samfund forudsætter dog helt entydigt kompetencer og vilje til at skabe sikkerhed og tillid til, at vore persondata behandles korrekt.

Borgere og forbrugere er stadig mere bekymrede over, at de ikke har kontrol over egne data og deres digitale privatliv. Og flere og flere begynder at handle på den mistillid med brug af adblockers og krypterede tjenester ved at bruge falske data, undgå at søge på bestemte ting, og vi har endda hørt om nogle, der er bange for at gå til lægen og få registeret mindre helbredsproblemer, som kan komme dem til skade senere.

Hvis denne mistillid eskalerer, vil de mange muligheder i big data gå tabt.

Effektiv sikkerhed og databeskyttelse opnås blandt andet ved brug af kryptering, pseudonymisering og generel respekt for og forsigtig omgang med andres data. Vi kan i dag analysere på krypterede data, så der er ingen grund til, at en sagsbehandler, en forsker eller en manager skal kunne se navn, adresse, alder og sundhedsoplysninger på specifikke personer for at udføre deres arbejdsopgaver.

Et nødvendigt skridt i en dansk sammenhæng er at fjerne cpr-nummeret og erstatte det med et løbenummer for hver enkelt transaktion eller behandlingsformål. Cpr-nummeret udgør et effektivt redskab for både myndigheder og virksomheder, men det udgør også en stadig større risiko for den enkelte borgers privatlivsbeskyttelse. Kender man fødselsdato og køn på en person, kan de sidste fire cifre i cpr-nummeret afsløres ved 40 gæt. Personnummeret er simpelthen ikke egnet til en digital tidsalder.

De manglende sanktioner i sagen udgør et fjerde problem. I lyset af udviklingen i den EU-retlige beskyttelse af privatliv og persondata er det overraskende, at sagen ikke fører til sanktioner.

Vi taler om, at stort set hele den danske befolknings grundrettighed til persondatabeskyttelse er tilsidesat. Bruddet er omfattende både i omfang og indhold – sundhedsoplysninger er nogle af de mest følsomme oplysninger, vi har. Og konsekvenserne for både den enkelte borger og for Danmark som land ligger uden for vores fatteevne.

Alligevel sker der ingenting.

Ingen alvorlig kritik af sundhedsministeren, af direktøren for SSI eller af de ansvarlige medarbejdere hos såvel SSI som Danmarks Statistik. I stedet ser vi en laissez faire-reaktion, hvor der blot henvises til, at der er tillid til, at den kinesiske medarbejder hos Cits ikke har kigget på cd’erne.

Den konkrete sag er derfor ikke kun et enkeltstående eksempel på dårlig informationssikkerhed, men illustrerer en brist i den danske opfattelse af vigtigheden af at beskytte borgernes data i en digital tidsalder, hvor persondata kun bliver mere og mere værd. Vi har endnu ikke indarbejdet beslutningsprocesser og arbejdsrutiner, der tager udgangspunkt i, at persondata tilhører den enkelte borger og ikke en forvaltningsenhed, et sundhedssystem eller en virksomhed.

Rigsrevisionen har da også flere gange udtalt skarp kritik af sikkerhedsniveauet i statslige institutioner, der behandler og modtager fortrolige persondata, herunder Danmarks Statistik.

Cybersikkerhed og privatlivsbeskyttelse er højt prioriteret i EU. Forordningen om persondatabeskyttelse knæsætter det enkelte menneskes ret til at kontrollere egne persondata og stiller skrappe krav til sikkerheden, bl.a. krav om kryptering af persondata, når der er risiko for, at dataene kan misbruges eller tilgås af uvedkommende. Et nyt direktiv stiller derudover krav om, at virksomheder og myndigheder, der oplever sikkerhedsbrud, skal indberette disse til tilsynsmyndigheden.

For at understrege alvoren af at krænke grundrettigheden til persondatabeskyttelse er forordningens sanktion for ikke at opfylde sikkerhedskravene fastsat som et bødekrav, der kan udgøre 10 mio. euro eller for virksomheder op til 2 pct. af deres årlige globale omsætning. Bødekravet gælder også for offentlige myndigheder – bare ikke i Danmark, hvor Justitsministeriet har formået at skrive sig ud af forpligtelsen for danske myndigheder.

Håndteringen af den konkrete sag tyder på en totalt manglende forståelse for, at persondata er en guldmine, der kræver effektiv beskyttelse.

Samlet råber hændelsen på en øjeblikkelig politisk reaktion, en synlig sanktion samt et niveau op i modenhed, hvad angår øget ansvarlighed og dataetik hos politikere, beslutningstagere og medarbejdere.

Følg
Jyllands-Posten
SE OGSÅ
Velkommen til debatten
  • Jyllands-Posten ønsker en konstruktiv og god debattone blandt vores læsere uanset uenigheder. Overtrædelse af vores debatregler kan føre til udelukkelse.
  • Anmeldelser af grove kommentarer kan ske til blog@jp.dk eller ved at ”markere som spam”.
Annonce
Annonce
Forsiden lige nu
Annonce
Annonce
Annonce

Blog: Skal lejerne betale for regeringens ghetto-politik?

Christian Rabjerg Madsen
Hvis Løkke får held til at tømme Landsbyggefonden, går renoveringen af landets almene boliger i stå. Det kan man ikke byde lejerne, som på trods af deres opsparede midler vil kunne se deres boliger forfalde uden nødvendige renoveringer.

Blog: Fyr direktøren og bestyrelsen for DR

Lars Boje Mathiesen
Hvis en direktør ikke kan effektivisere med 4% om året uden at ødelægge kernen i virksomheden, så burde denne fyres på stedet.

Debat: Putin rammer sine fjender både i og uden for russisk område

Bjarne Kim Pedersen, forfatter, fortæller og blogdigter, Otterup
Der er kræfter østfra, som holder øje med, hvad man laver, når man blander sig i debatten og forsøger at få rettet opmærksomheden mod krigen i det østlige Ukraine.
Annonce
Bolig
Se dig for, og spar mange penge på ny grill
Der er stor forskel på, hvad de samme grill bliver solgt til på tværs af butikkerne. Du sparer i gennemsnit 29 procent ved at holde øje. 
Se flere

Jyllands-Posten anvender cookies til at huske dine indstillinger, statistik og målrette annoncer. Når du fortsætter med at bruge websitet, accepterer du samtidig brugen af cookies. Læs mere om vores brug her