Kontrollen med personlige data er fuld af huller

Hos Datatilsynet er to fuldtidsstillinger sat af til at føre stikprøvekontrol med behandlingen af personlige oplysninger. Men antallet af sager om lækkede data stiger, og den nuværende kontrol kan ikke sikre, at personoplysninger ikke havner på fremmede hænder.

På TDC Hosting datacenter i Valby er der tre store nedkølede serverrum med adskillige servere, der servicerer store dele af den offentlige sektor. Arkivfoto: Dennis Lehmann Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

På et kontor i det indre København sidder dem, der skal sikre, at dine personlige oplysninger forbliver personlige. De er ansat hos kontrolmyndigheden Datatilsynet og har ansvaret for at kontrollere, at oplysninger om bl.a. danskernes kreditkort, CPR-numre og straffeattester behandles fortroligt og ikke havner i uvedkommendes hænder.

Datatilsynet bruger to årsværk på at lave opsøgende kontrol og stikprøvekontroller med den store skov af kommuner, myndigheder, virksomheder og privatpersoner, der håndterer danskernes personlige oplysninger. Antallet af kontrolbesøg var 71 i 2003, mens der i 2012 blev foretaget 58 inspektioner.

Det faldende antal kontrolbesøg falder sammen med, at NSA-afsløringerne, hacker-angreb og senest salget af Dankort- og NemID-ejeren Nets for alvor har øget fokusset på sikkerheden omkring vores privatliv. I samme periode er antallet af sager om datalækager steget fra 20 i 2003 til mindst 80 sager i 2013, hvoraf over halvdelen har forbindelse til offentlige institutioner.

Tilsynet beskriver da også, at sagsmængden »generelt stiger«, men på grund af besparelser har det været nødvendigt at »begrænse antallet af inspektioner«.

Den kontrol, som Datatilsynet ikke foretager, skal de myndigheder, der råder over oplysningerne, selv sørge for. Men hvis danskernes personlige oplysninger skal sikres mod at havne på de forkerte hænder, er den nuværende kontrolmodel imidlertid både utilstrækkelig og hullet. Det melder en række eksperter og aktører i IT-branchen nu ud i kølvandet på salget af Nets.

Amerikansk lov overtrumfer den danske

Hos Datatilsynet erkender man, at det »i høj grad er et spørgsmål om ressourcer« og at bedre kontrol ville øge sikkerheden omkring personfølsomme oplysninger.

»Nogle gange opdager vi sikkerhedsbrister i forbindelse med vores inspektioner, andre gange får vi et tip eller en klage fra en berørt person. Fejlene kunne ofte være undgået, hvis myndighederne havde bedre viden om, hvad deres ansvar er, og var mere omhyggelige med deres håndtering af personoplysninger. Ansvaret er blevet overladt til de myndigheder og virksomheder, som er ansvarlige for oplysningerne. Vi kan ikke være inde i billedet hver eneste gang, der behandles personoplysninger,« konstaterer Birgit Kleis, direktør i Datatilsynet.

Spørgsmålet om, hvem der ved hvad om os, rejste sig for alvor med whistlebloweren Edward Snowdens afsløringer af den omfattende overvågning, der er blevet udført af den amerikanske efterretningstjeneste NSA.

Senest har Berlingske beskrevet, hvordan personfølsomme oplysninger kan havne i udlandet, hvis Nets bliver solgt til en udenlandsk køber. Men en stor del af vores personlige oplysninger håndteres allerede af udenlandske virksomheder såsom den amerikanske IT-virksomhed CSC og amerikanskejede KMD.

Frygten er, at eksempelvis de amerikanske myndigheder kan kræve danskernes data udleveret fra de amerikanske virksomheder, fordi den amerikanske lov Patriot Act vil overtrumfe den danske lovgivning – uanset hvor oplysningerne rent fysisk er placeret.

Det nuværende kontrol – eller mangel på samme – er med til at øge den risiko.

»Øget kontrol vil ikke give en absolut sikkerhed, men det ville selvfølgelig minimere risikoen for, at udenlandske myndigheder får fat på vores oplysninger. Vi kan ikke regne med, at persondataloven bliver overholdt og sige til borgerne, at de kan regne med at deres privatliv er beskyttet,« siger Peter Blume, der er professor i persondataret ved Københavns Universitet og medlem af Datarådet, der afgør større og principielle sager på dataområdet.

Tilsynet blander sig ikke

I det nuværende kontrolsystem ligger ansvaret for at overholde persondataloven hos den enkelte virksomhed eller myndighed, som råder over oplysningerne. Rigspolitiet har eksempelvis ansvaret for, at den amerikanske IT-virksomhed CSC overholder persondataloven, når den håndterer data fra Kriminalregistret eller Det Centrale Pasregister.

CSC håndterer 202 databaser med oplysninger fra bl.a. Skat, politiet og en række kommuner. Amerikanskejede KMD håndterer 1.204 databaser med oplysninger primært fra kommunerne. Som reglerne er i dag, er det op til ejeren af hver enkelt af de databaser, som firmaerne håndterer, at sørge for, at persondataloven bliver overholdt.

De to parter – den dataansvarlige og databehandleren, som de kaldes i fagsprog – indgår en kontrakt, som skal sikre fortrolig behandling af oplysningerne. Datatilsynets to årsværk planlægger at foretage omkring 40 inspektioner i første halvår af 2014, men »blander sig ikke i, om de enkelte kontrakter overholdes, før noget går galt«, som professor Peter Blume udtrykker det

»Der er for sig vidt ingen, der holder øje med, hvorledes kontrakterne mellem databehandlere og den dataansvarlige udformes – og om de overholdes. Mange overholder dem selvfølgelig, da det også er i de dataansvarliges interesse, men området er så kæmpestort, at det er lidt tilfældigt, hvad der dumper ned på Datatilsynets bord,« konstaterer han.

Formanden for de IT-professionelles forbund PROSA, Niels Bertelsen, ser en klar tendens til, at flere af danskernes oplysninger bliver håndteret af udenlandske firmaer. Der er ifølge ham derfor god grund til at skærpe tilsynet.

»Datatilsynet har for få ressourcer og dets beføjelser er ikke særligt gode. Der skal laves en styrket funktion på et overordnet plan, der kan sørge for, at vi har en uvildig kontrol, som ikke har noget at gøre med den kontrakt, som er indgået mellem den pågældende myndighed og den, der skal udføre opgaven. Den risikovurdering mangler fuldstændigt,« siger Niels Bertelsen.

Der vil altid være en risiko

Hos Rigspolitiet, der er dataansvarlig for en lang række personlige oplysninger, bruger man Datatilsynet aktivt for at sikre oplysningerne. Desuden revideres sikkerheden løbende – og én gang årligt af et eksternt revisionsfirma.

Direktør for IT-området i Rigspolitiet, Michael Steen Hansen, forklarer, at man naturligvis ingen interesse har i at have dårlig sikkerhed, og at de kontrakter, som Rigspolitiet indgår med CSC, tager højde for sikkerheden omkring de personlige oplysninger.

»Jeg kan ikke garantere, at der ikke kommer endnu et hackerangreb, men jeg kan garantere, at vores kontrakter er udformet således, at CSC ikke må tage vores data ud af landet. Man kan ikke grave data ned i jorden, så teoretisk set tror jeg godt, at man kunne gøre systemet mere uigennemtrængelig, men i praksis ville det ikke fungere. Hvis man ikke kan få data ind og ud af systemet, er det ubrugeligt, så der vil altid være en risiko,« siger Michael Steen Hansen.

Tilbage hos Datatilsynet i det indre København vurderer direktør Birgit Kleis, at øget kontrol ikke nødvendigvis er den eneste og rigtige løsning, selv om det ganske givet ville forbedre sikkerheden.

»Det handler i lige så høj grad om oplysning i stedet for bare om kontrol. I mange af de tilfælde, hvor sikkerheden ikke er i orden, skyldes det ofte uvidenhed og ikke ond vilje.«