Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. juli 2005.
Datatab
Mens Danmark endnu er forskånet for hackerangreb, der resulterer i blotlægning af store mængder personlige og finansielle data, er USA hårdt ramt. Men også amerikanske angreb har vist sig at få konsekvenser herhjemme. Den danske persondatalov, der trådte i kraft i 2000, tager ikke højde for denne udvikling.
Danskerne bør vide, hvis der er risiko for, at deres personlige og finansielle data er blotlagt, mener Forbrugerrådet. Jurister er knapt så sikre.
Hverken de danske banker, PBS eller andre virksomheder har en lovbefalet pligt til at informere kunderne, hvis et indbrud i en database eller andre hændelser kan have blotlagt personlige data.
Anderledes er det i Californien. Her forhindrer loven, at sådanne brud på datasikkerheden kan forties. De californiske borgere, hvis data kan være kompromitteret, skal informeres.
Loven er på sin vis også blevet årsagen til, at sag på sag kommer til offentlighedens kendskab. Et af de første store gys kom i februar, da den amerikanske kreditoplysningsgigant ChoicePoint måtte erkende at være blevet hacket. Siden er nyheder om indbrud i systemer og mistede backup-magnetbånd med personlige oplysninger nærmest blevet hverdagskost for amerikanerne.
Senest var det MasterCard, der sammen med Visa måtte fortælle, at data om 40 millioner kreditkort kunne være blotlagt efter et indbrud i CardSystems Solutions - en PBS-lignende datacentral. 800 af disse kreditkort var udstedt i Danmark.
Forbrugerrådet ser den californiske lovgivning som et eksempel til efterfølgelse.
- Jeg håber, at en sådan lov er på plads, inden problemet for alvor opstår herhjemme, siger direktør Rasmus Kjeldahl.
Han finder det paradoksalt, at der er meget skrappe krav om oplysningspligt, hvis persondata udveksles mellem myndigheder og virksomheder, men ingen krav, hvis oplysningerne bliver ulovligt opsnappet af andre.
- Hvis ikke borgerne ved, at noget er sket, kan det være vanskeligere at være opmærksom på muligt misbrug, siger Rasmus Kjeldahl.
Direktøren tilføjer, at heldigvis har Danmark et effektivt cpr-system og en effektiv bankinfrastruktur. Begge dele medvirker til, at danskerne næppe i samme omfang som amerikanerne rammes af såkaldt identitetstyveri. Begrebet dækker kriminelle, der misbruger opsnappede data til at optage lån og gå på storindkøb i andres navn.
Men det vil ikke være uden problemer, hvis danskerne skal orienteres ved datatab.
- Det vil i visse tilfælde kunne skabe unødig ængstelse, siger en af landets garvede advokater på it-sikkerhedsområdet Janne Glæsel fra Bech-Bruun Dragsted.
- Vi bør få en diskussion om, hvorvidt det fremmer noget at have firkantede bestemmelser, eller om det vil være tilstrækkeligt med en slags kodeks på området, tilføjer Janne Glæsel.
Men også hun henviser til, at de berørte personer skal underrettes, når der sker udveksling af persondata myndigheder og virksomheder imellem.
- Og så er det jo nærliggende at sige, at hvor der har været brud på datasikkerheden, så er det mindste, man kan gøre, at informere. Hvis mit kreditkortnummer er kompromitteret, vil det jo være rart at vide, siger Janne Glæsel. Hun er også næstformand for både Rådet for IT-sikkerhed og Datarådet, der er en slags bestyrelse for Datatilsynet under Justitsministeriet.
Hun tilføjer, at visse paragraffer i persondataloven med en vis smidighed kan tolkes som en opfordring til at orientere de berørte borgere. Desuden opfordrer Datatilsynet virksomheder og myndigheder til at gøre, hvad de kan for at begrænse yderligere skadevirkninger af brud på datasikkerheden.
Både Janne Glæsel og en anden garvet it-advokat, Hanne Bender fra Bender von Haller Dragsted, peger på, at der herhjemme er stadig flere eksempler på, at data blotlægges. Typisk sker det dog kun som følge af sjusk. Men de konstaterer også, at juridisk set er borgerne i Danmark godt beskyttet, hvis kriminelle skulle misbruge data til egen vinding.
- De berørte borgere får jo rent praktiske problemer med i købet. Spørgsmålet er, om vi skal vente og se, om den storstilede kriminalitet rammer Danmark, eller om der under alle omstændigheder bør indføres en lov i stil med den californiske, siger Hanne Bender.
Problemet med en sådan lov er ifølge hende, at der skal foretages en mængde grænsedragninger. Hvor meget data skal for eksempel være stjålet, for at en berørt borger skal orienteres?
Datatilsynet under Justitsministeriet har ikke lovgivning på dette område på dagsordenen. Blandt Datatilsynets opgaver er at føre tilsyn med, at den nuværende persondatalov overholdes. Loven, som blandt andet bygger på et EU-direktiv, blev udarbejdet ultimo 1999, altså før erhvervslivets brug af internet for alvor slog igennem.
Datatilsynet, der har omkring 25 ansatte, har i øvrigt fået skåret i budgetterne de seneste år.
Billedtekst:
- Hvis ikke borgerne ved, at noget er sket, kan det være vanskeligere at være opmærksom på muligt misbrug
Rasmus Kjeldahl, direktør for Forbrugerrådet. Foto: Scanpix
Billedtekst:
- Det står ikke soleklart i persondataloven, at man skal informere de personer, hvis data er blotlagt
advokat Janne Glæsel, Bech-Bruun Dragsted.
Foto: Torben Klint
Boks:
Danske Amex-kort i fare
Også danskere, der har American Express-kreditkort, adviseres nu om risikoen for misbrug i kølvandet på kriminelles angreb på amerikanske CardSystems Solutions - en PBS-agtig betalingscentral. Angrebet, der blev kendt for få uger siden, ramte en database med oplysninger om 40 millioner kreditkort, især kort fra Visa og Mastercard.
Omkring 800 af kortene var udstedt i Danmark. PBS fik hurtigt listerne over de berørte kort fra Visa og Mastercard. Nu er listen fra American Express i hus, og den viser, at godt 130 kort kan være i farezonen. Indehaveren vil få tilsendt nye kort.
Boks:
Vi har talt med:
• Peter Schütze, medlem af Nordeas koncerndirektion, landechef for Danmark
• Advokat Janne Glæsel, Bech-Bruun Dragsted
• Advokat Hanne Bender, Bender von Haller Dragsted
• Direktør Rasmus Kjeldahl, Forbrugerrådet
• Carsten Heilbuth, partner hos KPMG
• Simon Perry, Vice President eTrust, Computer Associates
• Administrerende director Jan Skelbæk, Symantec
• Kontorchef cand. jur Lena Andersen, Datatilsynet
• Udviklingsdirektør Per Hviid, Danske Bank