Skandalen omkring Se og Hørs anvendelse af ulovligt fremskaffede kreditkortoplysninger hos Nets betyder, at rigtig mange har fået øjnene op for de store sikkerhedsproblemer, der er omkring datasikkerheden generelt i Danmark.

Skandalen kommer oven på andre store skandaler om IT-sikkerhed, som da CSC blev hacket og sikkerheden omkring CPR-registret og kørekortregister bl.a. blev kompromitteret. Og det handler ikke kun om Se og Hør eller Nets, men generelt om datasikkerhed. Det handler om ganske almindelige borgeres personfølsomme oplysninger

Enhedslisten, IT-eksperter og NGO’er har i årevis forsøgt at råbe højt om den lemfældige omgang med personfølsomme data, og Enhedslisten lancerer nu et større udspil med konkrete forslag til, hvordan man kan styrke datasikkerheden. Partiet håber, at dette kan bidrage konstruktivt til diskussionen samt den kortlægning af datasikkerheden, som justitsministeren har igangsat.

Læs også "Enhedslisten vil have en IT- og dataminister" i Berlingske.dk.

Større fokus og bedre tilsyn

1) IT- og dataminister

Det digitale samfund er en realitet. Digital kommunikation er lige så stor en del af vores samfund og infrastruktur som veje og broer, men tages langtfra alvorligt nok. IT og digitalisering er så centralt for vores samfund, at det er farligt at lade det være underlagt stedmoderlig behandling af forskellige ministerier og forvaltninger, hvoraf ingen er specialiserede. Derfor foreslår Enhedslisten, at der oprettes et ansvarligt IT- og dataministerium, så der fremover eksisterer et egentligt ressortområde, én ansvarlig minister, samt samlet viden på området. Denne minister skal således have bl.a. Datatilsynet, persondataloven og anden relevant lovgivning under sin ressort.

2) Styrket tilsyn

Datatilsynet fungerer rent ud sagt ikke som et reelt tilsyn. Der er hverken tilstrækkelige ressourcer eller beføjelser til at holde øje med det store antal virksomheder og offentlige institutioner, der håndterer store mængder personfølsomme data hver eneste dag. Samtidig har vi behov for et tilsyn med en mere proaktiv rolle, som selv tager større sager op, og spiller ind i den offentlige debat, samt vejleder borgerne generelt om IT-sikkerhed.

Konkret bør Datatilsynet som minimum tilføres yderligere 10 mio. kr., som er ca. en 50 % forøgelse i forhold til nuværende bevilling. Samtidig bør der gives mulighed for at tilsynet kan foretage egentlige kontrolbesøg – både anmeldte og uanmeldte. Dette indebærer også, at der fastsættes minimumskrav, således at der føres mere intenst tilsyn, des flere personfølsomme oplysninger, virksomheden håndterer. Fx således, at alle dataansvarlige bliver kontrolleret hvert 10. år, mens dataansvarlige, som håndterer personfølsomme oplysninger for mere end 100.000 borgere, kontrolleres hvert femte år, og de helt store aktører udsættes for løbende kontrol.

3) IT-havarikommission

Når store IT-projekter i statsligt og offentligt regi kuldsejler, fx Polsag eller Arbejdsskadestyrelsens sagssystem, har det betydning fra vores IT-infrastruktur. Det koster skattekroner, og det betyder, at vi ikke får de bedste systemer til at håndtere borgernes personfølsomme data. Og når der sker fejl, uheld eller decideret misbrug af personfølsomme oplysninger, er det langt fra altid, at det kommer frem og bliver undersøgt. Derfor bør der oprettes en IT-havarikommission, som har til opgave at undersøge årsagerne, når det konkret går galt, advare og vejlede borgerne i den konkrete situation, samt arbejde med forebyggelse. Havarikommissionen skal bestå af fagligt kompetente IT-ekspert, og skal selvsagt have den nødvendige faglige bistand til at foretage undersøgelser og afdække fejl, mangler og årsager.

Mindre registrering betyder mindre risiko

1) Kortlægning af omfanget af registrering

Hooliganregistre, sundhedsregistre, kørekortregistre – listen er lang. Risikoen for misbrug af personfølsomme oplysninger øges i takt med oprettelsen af flere og flere registre. Des flere registre, der eksisterer; des flere oplysninger, de indeholder; des mere oplysningerne sammenkøres og des flere mennesker, der har adgang hertil - des større er risikoen for, at der kan ske misbrug. Derfor bør området gennemgås gennem en større kortlægning af, hvor meget vi egentlig registreres i både det offentlige og det private. Og ikke mindst om vi kan undvære en del af registreringen.

2) Afskaffelse af logningsbekendtgørelsen

Den såkaldte logningsbekendtgørelse betyder, at teleselskaberne ligefrem er pålagt at gemme data om alle borgeres telefonopkald, sms’er og internetaktivitet. Det betyder, at ekstreme mængder personfølsomme oplysninger gemmes hos private teleselskaber. Det er en alt for omfattende overvågning, som også ifølge EU-domstolen er en overtrædelse af grundlæggende rettigheder, og som også øger risikoen for misbrug. Denne registrering bør afskaffes omgående.

3) Afskaffelse af cpr-numre - personoplysningsloven

CPR-systemet, som vi kender det, er hamrende usikkert. CPR-nummeret kan anvendes som identifikation alene til bl.a. lånoptagelse, og bruges samtidig så ofte, at det i praksis ikke er et hemmeligt nummer. Det betyder, at såvel identitetstyveri samt adgang til andre oplysninger alt for nem, og det skaber en generel usikkerhed omkring de it-systemer, der bruges i det offentlige og det private. Nummeret bør derfor afskaffes som identifikationsmiddel og erstattes af eksempelvis nøglekort eller lignende, som også Rådet for Digital Sikkerhed har foreslået det.

Skrappere krav til dataansvarlige

Persondatalovens regler for håndtering af personfølsomme oplysninger er langtfra stramme nok. Der bør igangsættes en revision, sideløbende med den proces, der foregår i EU, og denne bør føre til langt flere specifikke krav til opbygningen af it-systemer, der håndterer oplysninger om borgere.

Eksempler på konkrete krav til dataansvarlige, der bør indføres:

- Forbud mod sammenkøring af informationer uden egentlig begrundelse, således at fx adresse, navn, kreditkortoplysninger og lignende ikke er tilgængelig i samme database medmindre dette er konkret nødvendigt for formålet.

- Opdeling af medarbejdere i sikkerhedsniveauer, således at medarbejdere udelukkende har adgang til de oplysninger, der er nødvendige for at udføre deres stilling, fx forbud mod, at medarbejdere har mulighed for opslag på navn, men udelukkende på kontonummer, CPR-nummer eller adresse.

- Når det offentlige udvikler it-projekter og indkøber it-løsninger, skal det ske efter principperne om privacy by design. Det er syv principper for systemudvikling, der indtænker sikring af private data i alle dele af systemet.

- Krav om log af opslag i følsomme data med pop-up-advarsler, som skal gennemgås af medarbejdere med særligt ansvar for sikkerheden.

- Ved sikkerhedsbrud skal det være obligatorisk, at den dataansvarlige oplyser brugerne om den potentielle fare for misbrug.

Væsentlige IT-funktioner skal på fællesskabets hænder

IT-systemer er i dag en central del af samfundets infrastruktur. Ikke kun privat kommunikation med virksomheder foregår digitalt, men også stort set al kontakt med og sagsbehandling i det offentlige er digitaliseret. Administration og håndtering af CPR-systemer, offentlige registre, NemID og lignende er samlet set så vigtige samfundsfunktioner, at det ikke burde overlades til private selskaber.

Derfor mener Enhedslisten, at de store centrale datafunktioner bør indliciteres og administreres af offentlige institutioner. Det gælder eksempelvis NemID, CPR-registret og lignende store registre. Indlicitering kan ske til staten, men nogle opgaver vil også kunne overtages regionalt og/eller opsplittes i mindre enheder, så store mængder oplysninger ikke er samlet ét sted med dertilhørende fare for misbrug. På den måde vil disse fundamentale dele af vores samfund være underlagt fællesskabets kontrol, hvor også mulighederne for tilsyn alt andet lige er bedre.

Her og nu bør salget af Nets til amerikanske kapitalfonde stoppes. Bliver Nets solgt er NemID, Betalingsservice osv. nemlig underlagt også amerikansk lovgivning, som betyder, at Nets kan blive tvunget til at udlevere oplysninger om danske borgere til amerikanske myndigheder, også selvom det strider mod dansk lovgivning. Derfor bør den danske stat nægte at sælge sin del af aktierne, og myndighederne bør undlade at godkende salget.