En dusør på 10.000 kroner blev udlovet, da rengøringskoncernen ISS for to måneder siden mistede et datamedie med personfølsomme oplysninger på 9.500 medarbejdere. Men lige meget hjalp det. Datamediet er stadig væk, ingen har følt sig fristet af dusøren.
Alligevel kan de 9.500 medarbejdere ikke se frem til erstatning fra deres arbejdsgiver. Det skyldes på en måde en god nyhed.
ISS har nemlig ikke hørt om, at dets medarbejdere har tabt penge på sagen, og dansk datalovgivning giver – i modsætning til den svenske - som udgangspunkt kun erstatning, hvis en krænket har mistet penge. Det er ikke alene nok, at en person går rundt og føler sig bange for eksempelvis at få stjålet sin identitet.
Der er flere og flere sager med datalæk. ISS’s uheldige sag startede, da ISS skulle sende medarbejdernes feriekort til en underleverandør, fortæller Maarten van Engeland, administrerende direktør i ISS. Normalt ville rengøringskoncernen sende dataene krypteret over dens SAP-system, men underleverandøren skulle have feriekortene så hurtigt som muligt. ISS sendte derfor to personer over med et datamedie – ISS vil efter henstilling fra Politiet ikke oplyse hvilken slags – og de to personer skulle have underskrift på, at underleverandøren fik dataene udleveret. Da dataene skulle tilbage til ISS, valgte underleverandøren at sende dem med posten. Da konvolutten nåede frem var konvolutten revet op og datamediet borte. Det tyder altså på, at datamediet var stjålet.
”Dataen er ukrypteret på mediet, og hvis man er lidt fiks, kan man godt få adgang til disse data. Man skal kobles op til Dansk Industris hjemmeside for at få adgang til disse data, og det kan man sikkert godt, men det kræver en kode,” forklarer Maarten van Engeland.
Frygt for tyveri
ISS frygtede, at tyve ville udnytte dataene – navn og det personfølsomme cpr-nummer – til at stjæle fra medarbejderne. Koncernen anmeldte derfor hændelsen til politiet, der endnu ikke har afsluttet efterforskningen. ISS strammede desuden firmaets procedurer, så der er krav om personidentifikation fra personale, der ønsker at ændre den konto, som ISS udbetaler løn og feriepenge til. Samtidig fortalte koncernen til Finansrådet, at der var sket en læk, og Finansrådet advarede derefter samtlige banker om den potentielle trussel.
Et cpr-nummer kan på adskillige måder bruges til at stjæle folks identitet og dermed penge. DR’s forbrugermagasin Kontant dokumenterede for to måneder siden – ironisk nok ugen før lækket af rengøringspersonalets data kom frem – hvordan tyve kan bruge cpr-numre til at købe varer i andres navn. Det skyldes, at mange sælgere tager et cpr-nummer for gode varer og ikke kræver identifikation. En kriminel forklarede til Kontant, at identiteter på det kriminelle marked forhandles til omkring 1000 kroner pr. styk.
Der er tilsyneladende endnu ikke sket misbrug af data i ISS-sagen, forklarer Maarten van Engeland, og han håber ikke, at det vil ske. Hvis misbrug – eksempelvis lænsning af en bankkonto - skulle ske, vil ISS overveje at give en erstatning til medarbejderen.
”Vi mener ikke, at vi på nogen måde er erstatningspligtige, men hvis vores medarbejdere på grund af det her bliver berørt og kommer til at lide skade, så vil vi fra sag til sag se, om vi kan lade vores medarbejdere være skadesløse,” siger Maarten van Engeland.
Sverige giver bedre erstatning
Det er det statslige Datatilsyn, der fastslår, om Persondataloven er blevet brudt. Tilsynet oplyser til ComON, at det stadig kigger på ISS-sagen og endnu ikke er kommet med en udtalelse.
Hvis det skulle ske, at ISS eller underleverandøren har brudt Persondataloven, så vil det ikke automatisk udløse en erstatning til medarbejderne. Det fortæller advokat Martin Gräs Lind fra advokatkontoret Lexius. Han har specialiseret sig i databeskyttelse og synes, at den danske lovgivning er ”mærkelig”.
”I de fleste sager om databrud er der ikke sket økonomisk skade for den registrerede. Når den krænkede ikke har krav på erstatning for ikke-økonomisk skade, bliver beskyttelsen mindre effektiv, end hvis den dataansvarlige er forpligtet til at udbetale en godtgørelse for integritetskrænkelsen,” siger Martin Gräs Lind.
Han fortæller, at de svenske regler giver bedre muligheder for erstatning. EU-direktivet om databeskyttelse siger, at der skal være en erstatning, men ikke hvordan den skal opgøres. Danmark har valgt, at der alene skal kunne kræves erstatning efter persondatalovens paragraf 69 ved økonomisk tab. Kun i helt grove sager kan en krænket person få erstatning for tort efter dansk ret, men det er ikke på grundlag af regler i persondataloven, hvilket ville have været naturligt, mener Martin Gräs Lind. Der er dog eksempler på grove tilfælde, hvor personer er blevet tilkendt erstatning, fordi følsomme data om dem blev lækket. Martin Gräs Lind giver et eksempel, hvor Vestre Landsret gav en kvinde ret til 10.000 kroner i erstatning for tort. Det var fordi, arbejdsgiveren havde brudt Databeskyttelsesloven, ved at videregive oplysninger om kvindens psykiske problemer og psykologbehandling. Sverige giver lettere mulighed for erstatning for skade, der ikke giver den krænkede et økonomisk tab, siger Martin Gräs Lind.
”I Sverige har de valgt anderledes end i Danmark. I Sverige kan man få erstatning af den dataansvarlige, blot ens integritet er skadet, altså for ikke-økonomisk skade,” siger Martin Gräs Lind.
Over for ComON oplyser den svenske datamyndighed, Datainspektionen, at der er "meget få sager", hvor svenskere har fået erstatning for at få krænket sin personlige integritet efter et databrud.
Hos ISS er personalet indtil videre ganske rolige. Det skyldes, at der endnu ikke er sket eksempler på misbrug, og at ISS proaktivt har informeret medarbejderne om lækket og samtidig bedt medarbejderne om hyppigt at tjekke bankbogen for uregelmæssigheder. Det fortæller fællestillidsrepræsentant Gorm Sauer Jensen, der ikke har hørt om brok fra kollegerne efter lækket.
Han roser ISS's håndtering af sagen efter dataene forsvandt.
”Du bliver mere tryg, når du kan høre, hvordan tingene bliver håndteret, og at det bliver gjort professionelt,” siger fællestillidsrepræsentanten.
