Danske firmaer og myndigheder, der ved en fejl er kommet til at blotte deres brugeres data, skal automatisk oplyse ofrene om lækket.
Sådan lyder kravet ifølge flere politikere over for Version2.dk.
Kravet er dog ikke fremmed i Danmark, kan ComON berette. Datatilsynet stiller allerede samme krav om, at ofre skal underrettes. Målet er dog ikke at stille datablotteren i gabestok, som politikerne efterspørger, men derimod at sikre, at skaden bliver begrænset - eksempelvis så brugerne kan tage forholdsregler.
Anderledes er det på Datatilsynets hjemmeside. Her er Datatilsynets mål enten at oplyse om Datatilsynets praksis - som andre dataansvarlige derefter kan rette sig efter - og så kan målet være at hænge den dataansvarlige til tørre.
"Det koster, når man har en alvorlig sikkerhedsbrist. Selv om man ikke får en bøde, så får man en omtale på vores hjemmeside. Der har vi en lang tradition for at omtale de grovere sager," forklarer kontorchef Lena Andersen fra Datatilsynet.
Irma fik krav fra Datatilsynet
Kravet, om at dataansvarlige skal direkte skal oplyse ofre for en sikkerhedsbrist om lækagen, kom senest i brug i forbindelse med sagen om Irmatorvet.dk, der blottede deres kunders data. Det viser en aktindsigt, som ComON har fået i sagen. Her skrev Irma for nyligt rundt til 30.000 kunder og oplyste om, at deres password ved en fejl var lagt ud på et test-site. Det var efter "krav" fra Datatilsynet, viser aktindsigten, at de sendte emails ud. I en email til Datatilsynet noterede it-sikkerhedschef fra Irma-ejeren Coop, Bo Lund Rosenlund, at Datatilsynet efter en telefonsamtale havde to overordnede krav. Det ene var at sikre data igen, det andet krav lød på at underrette kunderne.
Kravet om at underrette kunderne står ikke eksplicit i Persondataloven, oplyser Lena Andersen. Det er en fortolkning af paragraf 5, stk. 1, som Datatilsynet har haft i en længere årrække. I et notat til Folketinget fra februar 2008 skrev Datatilsynet, at de havde haft denne praksis i hvert fald siden 2003.
"Det er ret og rimeligt for borgerne. Det hører med til ansvarlig håndtering af data at rette for sig og gøre, hvad man kan for at begrænse skaden," siger Lena Andersen om Datatilsynes fortolkning om, at dataansvarlige skal underrette ofrene.
Tilsyn håndterer sager forskelligt
Datatilsynets tilgang kan være forskellig fra sag til sag. Når en kunde som Irmatorvet.dk ved en fejl offentliggør passwords, kan det eksempelvis være relevant for brugerne at skifte passwords. En del bruger samme password til en række forskellige tjenester. Derfor kan et lækket password til en mere eller mindre ligegyldig tjeneste ofte også bruges i andre og måske mere sårbare sammenhænge. Det sås eksempelvis i Gawker-lækagen, hvor lækkede passwords til mediesites efterfølgende blev brugt til at hijacke Twitterkonti, som så blev brugt til at udsende spam.
I nogle tilfælde vurderer Datatilsynet, at det er unødvendigt at underrette borgerne. Som eksempel siger Lena Andersen, at Datatilsynet i en bestemt sag havde to læk. I det ene læk var der klare, personhenførbare, følsomme informationer - og så krævede Datatilsynet, at den dataansvarlige oplyste borgerne om bristen. I det andet læk i sagen var informationerne ikke lige så omfattende og ikke personhenførbare for alle og enhver. Her vurderede Datatilsynet, at det ikke var nødvendigt at underrette ofrene med et brev til den enkelte - men at det var nok at oplyse om sikkerhedsbristen på en hjemmeside og via medierne.
"Borgerne skal have sikkerhedsnotifikationer, når der er grund til det. Hvis de modtager alt for mange sikkerhedsnotifikationer om små sager, er der risiko for, at de bliver immune over for dem," siger Lena Andersen.
Det er ikke et lovkrav, at myndigheder og virksomheder skal kontakte Datatilsynet ved sikkerhedsbrister, men Datatilsynet anbefaler at søge rådgivning ved alvorlige sager, hvor meget følsomme informationer eller store mængder data er omfattet af en sikkerhedsbrist. Hvis en dataansvarlig ignorerer en brist og eksempelvis ikke oplyser de berørte, så kan det spille ind i Datatilsynets overvejelser, hvis hændelsen senere kommer til deres viden. I sidste ende kan en sikkkerhedsbrist medrøre straf, eksempelvis bøde, hvis omstændighederne er særligt grove - eksempelvis hvis en virksomhed begår fejl med vilje eller gentagne gange.
"Hvis man bevidst undlader at tage hånd om en alvorlig sikkerhedsbrist, så kunne det i yderste konsekvens få indflydelse på vores samlede vurdering af sagen. Der er jo strafbestemmelser for, at man skal have sikkerhed omkring ens data. Som regel uddeler vi dog ikke bøder, fordi virksomheder og myndigheder oftest kontakter os og erklærer, at der var tale en fejl," siger Lena Andersen.
Selv om det ikke er klart defineret i loven, så tolker Datatilsynet Persondataloven sådan, at en dataansvarlig skal underrette de berørte brugere - uanset om Datatilsynet siger det eller ej.
Krav om underretning har aldrig været prøvet ved domstol
Eftersom kravet om underretning af ofrene ikke er klart defineret i persondataloven, vil en dataansvarlig kunne afvise kravet. Herefter ville det i sidste instans være op til domstolene at afgøre, om det vitterligt - som Datatilsynet tolker persondataloven - er i overensstemmelse med god databehandlingsskik at oplyse borgerne i tilfælde af sikkerhedsbrister for at begrænse skaden. Endnu har ingen dataansvarlige haft lyst til at hive en afgørelse fra Datatilsynet om underretningskravet i retten, siger Lena Andersen.
"Det er aldrig kommet så vidt, at vi har måttet skride til politianmeldelse," oplyser kontorchefen.
Lena Andersen oplyser desuden, at Datatilsynet i forhold til Irmatorvet har stillet krav om, at beskederne til de berørte borgere ikke må ligne reklamer.