Artikel top billede

Dansker truet på livet efter politiets datalæk

Kurt Loftkjær ville gerne have vidst, at det var et datalæk hos politiet, der førte til trusler mod ham og hans familie. Men i Danmark siger loven ikke, at man skal oplyse om datatab.

Du opdager det formentlig ikke, hvis en offentlig myndighed eller en privat virksomhed mister dine personfølsomme data.

For i Danmark har man hverken som virksomhed eller myndighed pligt til at offentliggøre tabet eller fortælle folk, at man har mistet deres data.

Dermed har du heller ikke mulighed for at gardere dig mod effekten af datatabet.

Det fik ingeniør Kurt Loftkjær at føle i en sag, der strækker sig tilbage til 2005, da oplysninger om ham blev lækket, men først blev bragt til hans kendskab to år senere.

Han fik intet at vide om, at hans personlige oplysninger i form af CPR-numre på ham og hans familie var kommet i hænderne på folk, som senere truede ham og hans familie på livet.

Kriminel politibetjent

Oplysningerne blev uretmæssigt hentet ud af CPR-registreret af en kriminel politimand, der som nebengesjæft forsynede en tidligere kollega, som havde startet et detektivbureau, med oplysninger.

Hvordan oplysningerne om Kurt Loftkjær er endt hos de folk, der truede ham i breve og i telefonopkald, er aldrig blevet opklaret.

Men lige siden 2005 var politiet sandsynligvis udmærket klar over, at den kriminelle betjent havde trukket data ud om Kurt Loftkjær i politiets egne systemer.

Der var bare ingen, der fandt på at informere Kurt Loftkjær om, at hans personfølsomme oplysninger var blevet kompromitteret af den anløbne betjent, som i foråret 2007 blev idømt en betinget fængselsstraf for sine ugerninger.

Det var først i januar 2007, at statsadvokaten i et brev meddelte Kurt Loftkjærs advokat, at politiet i forbindelse med en anden sag havde fundet ud af, at der uretmæssigt var trukket registeroplysninger om Kurt Loftkjær og hans familie.

Truer med angreb

Årsagen til truslerne skal føres tilbage til det arbejde, som Kurt Loftkjær udfører i sin fritid, hvor han er aktiv i den lokale afdeling af Danmarks Naturfredningsforening.

Herfra har han kæmpet imod, at et moseområde med fredede frøer bebygges, så paddernes yngleområde bliver ødelagt.

I 2005 modtager han et brev, hvori 'en gruppe personer' truer ham og hans familie med, at de vil blive angrebet, hvis ikke Kurt Loftkjær indstiller sit arbejde i naturfredningsforeningen.

Et år efter, han har fået trusselsbrevet, modtager han et telefonopkald, hvor en mand siger:

"Vi har et lille mellemværende fra sidste år vedrørende dine skriverier, vi skal have gjort op."

Dagbladet Information har beskrevet hele sagsforløbet, som kan læses her.

Vil underrettes straks

Oplevelsen af at være blevet ladt i stikken af de myndigheder, der har ansvaret for, at hans personlige oplysninger er kommet i hænderne på kriminelle, sidder stadig i Kurt Loftkjær.

Han ville gerne have haft det at vide straks, da politiet afslørede, at den kriminelle betjent havde trukket oplysninger på ham.

"Man bør straks underrette den berørte. Det sætter personen i stand til at reagere rationelt på de konsekvenser, som datatabet kan have," siger Kurt Loftkjær til Computerworld.

Han mener, at myndighederne skal blive bedre til at sikre sig mod misbrug, og at brugere af registre skal have begrænset adgang til data.

"Det er ikke rimeligt, at man kan få vidstrakt adgang til data, når man måske kun har brug for en detailoplysning," siger han.

Lange udsigter for lov

Udsigten til en lovgivning, der tvinger alle, som mister data, til at oplyse det straks, ligger ikke lige om hjørnet.

Datatilsynet mener, at det krav allerede er omfattet i den formulering i persondataloven, der taler om god databehandlingsskik.

"Som tilsynsmyndighed stiller vi krav om, at man skal rette for sig. Det vil sige orientere dem, det er gået ud over og medvirke til at begrænse skaderne, hvis man er kommet til at lække data.

Det ligger i begrebet god databehandlingsskik," siger Janni Christoffersen, direktør i Datatilsynet.

Datatilsynet vurderer ikke, at der er behov for en lov, der tvinger en offentliggørelse igennem ved datatab.

Datatilsynets direktør opfatter princippet om god databehandlingsskik som et krav, men erkender, at der ikke står noget om offentliggørelse i den særlige bestemmelse i persondataloven, der handler om behandlingssikkerhed.

"Men det generelle princip om god databehandlingsskik står altså i persondataloven," siger Janni Christoffersen.


USA viser vejen
I USA er loven klar: Her skal myndighed eller virksomhed offentliggøre sit tab og advare de berørte personer om, at deres data er blevet kompromitteret.

I Nashville i USA mistede et valgkontor ved et indbrud i juledagene en bærbar computer med personfølsomme oplysninger på 337.000 registrerede vælgere.

Alle berørte blev kontaktet af valgmyndigheden, så de har mulighed for at gardere sig mod et eventuelt misbrug.

Den sløsede omgang med persondata forventes at komme til at koste den ansvarlige valgmyndighed en million dollars, der skal bruges til at sikre de personers identitet, der er blevet kompromitteret ved indbruddet.

Borgeren egne data nærmest

Den procedure havde været kærkommen i Kurt Loftkjærs tilfælde, mener han.

"Den enkelte borger er formentlig den nærmeste til at vurdere relevansen af opslag i hans egne personfølsomme data," siger han.

Kurt Loftkjær mener, at han ville have haft bedre mulighed for at reagere hensigtsmæssigt, hvis han straks var blevet informeret.

"I det konkrete tilfælde ville jeg straks have kunnet sikre mig, at politiet indledte en undersøgelse mod den senere dømte politimand.

Truslerne kom først senere, og de kunne måske havde været forhindret," siger han.

Vil ministeren lovgive?

Det blev for nylig kendt, at nyhedssitet Newz.dk har mistet navne og koder på 4.800 af deres brugere.

Datatabet havde fundet sted i august 2007, men blev angiveligt først opdaget i december.

Det gav hackerne fem måneder til at bryde krypteringen på koderne, alt imens de intetanende brugere i nogle tilfælde fortsatte med at anvende deres kompromitterede koder til andre og vigtigere ting, som adgang til netbanker og email-konti.

Computerworld vil gerne vide, om justitsminister Lene Espersen (K) på baggrund af den seneste tids sager om datattab, vil arbejde for at indføre en lov, der tvinger alle, der mister personfølsomme data, til at offentliggøre det og kontakte de berørte.

Vi har spurgt:

Mener justitsministeren, at Danmark bør indføre en lov, der tvinger offentlige såvel som private virksomheder til at offentliggøre det, hvis de mister personfølsomme oplysninger, eller disse data på anden vis kompromitteres?

og

Bør en person, hvis personfølsomme oplysninger lækkes af enten privat virksomhed eller offentlig myndighed have lovmæssig krav på at blive informeret om datatabet øjeblikkeligt?

Justitsministeren har endnu ikke besvaret Computerworlds henvendelse.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere