Skip links

Det store data-hasardspil

Blog. Danskerne er det mest gennemregistrerede folk i verden. Det åbner for massiv overvågning, men indeholder også potentiale til vækst og forandring. Den seneste CPR-fadæse, som overraskende ingen konsekvenser får, viser, at det offentlige Danmark hverken har kontrolsystemer eller bevidsthed om datasikkerhed, hvilket kun øger danskernes digitale mistillid.

Af Birgitte Kofod Olsen og Pernille Tranberg, medstiftere af tænkehandletanken DataEthics

cprstor
Tegning af Rasmus Høyer, Jyllands-Posten

CPR-numre på 90% af den danske befolkning landede ved en fejl hos en afdeling af den kinesiske virksomhed Cits, China International Travel Services Group. En venlig medarbejder dér afleverede de modtagne CD’er hos Danmarks Statistisk. Det danske datatilsyn vurderer, at hændelsen ikke har haft nogen faktiske konsekvenser for de 5.282.616 personer, hvis data var indeholdt på CD’erne og foretager sig derfor ikke yderligere i sagen.

Den konkrete sag og den generelle sikkerhedssituation i Danmark efterlader os med fire grundlæggende problemer.

For det første risikerer danske borgere, at uvedkommende får adgang til deres sundhedsdata, og til at deres persondata misbruges, fx ved at deres CPR-numre sælges på nettet og bruges til bedrageri og identitetstyveri eller til kategorisering som dårlige eller uønskede kunder. Af CPR-numre kan direkte aflæses oplysninger om alder, køn og fødselsdag samt udtrækkes oplysninger om den enkeltes adresse, hjemkommune eller lokalområde og boligtype, hvis oplysningerne beriges med oplysninger fra andre kilder. Og suppleres CPR-numrene på den baggrund med oplysninger fra sociale medier, kan der udarbejdes detaljerede profiler af hver dansker, som kan skade personens omdømme, muligheder på arbejdsmarkedet eller deres kreditværdighed og økonomi.

Vi kender ikke risikoens omfang i den konkrete sag. CD’erne er pakket hos Statens Serum Institut, SSI, sendt med PostNord, åbnet hos Cits og derefter hos Danmarks Statistik. Hvor mange medarbejdere, der har kunnet få adgang til de personfølsomme oplysninger undervejs, ved vi ikke. Sagen har derudover blotlagt svagheder i sikkerheden, der kan udnyttes af hackere og kriminelle.

Digital tillid bliver mindre
For det andet har vi nu en øget risiko for, at tilliden til danske myndigheder bliver reduceret. Det er svært at stole på, at danske myndigheder behandler vores persondata med respekt for, at de tilhører den enkelte person og indretter deres arbejde efter det. Bare det faktum, at SSI benytter to CD’er som medie til opbevaring af følsomme persondata på stort set hele den danske befolkning og sender dem samlet og ukrypteret med Postnord er tegn på, at hverken kontrolsystemer eller bevidsthed om risikoen for, at dataene kommer i de forkerte hænder, er til stede.

Et tredje problem er knyttet til vækstpotentialet i dataanalyse. Man kan godt forklare den konkrete hændelse med menneskelige fejl. Men det ærgerlige er, at den viser en umoden sikkerhedskultur. Vi er det mest gennemregistrerede folk i verden og derfor sårbare overfor  massiv overvågning og uønsket indsigt i vores privatliv. Persondata indeholder imidlertid potentiale til vækst og forandring, hvis vi håndterer dem smart. Den konstruktive værdiskabelse via persondata til gavn for alle borgere og det danske samfund forudsætter dog helt entydigt kompetencer og vilje til at skabe sikkerhed og tillid til, at vores persondata behandles korrekt. Borgere og forbrugere er stadig mere bekymrede over, at de ikke har kontrol over egne data og deres digitale privatliv. Og flere og flere begynder at handle på den mistillid med brug af adblockers og krypterede tjenester, ved at bruge falske data, undgå at søge på bestemte ting, og vi har endda hørt om nogle, der er bange for at gå til lægen og få registeret mindre helbredsproblemer, som kan komme dem til skade senere. Hvis denne mistillid eskalerer, vil de mange muligheder i big data gå tabt.
Effektiv sikkerhed og databeskyttelse opnås blandt andet ved brug af kryptering, pseudonymisering og generelt respekt for og forsigtig omgang med andres data. Vi kan i dag analysere på krypterede data, så der er ingen grund til, at en sagsbehandler, en forsker eller en manager skal kunne se navn, adresse, alder og sundhedsoplysninger på specifikke personer for at udføre deres arbejdsopgaver.

Et nødvendigt skridt i en dansk sammenhæng er at fjerne CPR-nummeret og erstatte det med et løbenummer for hver enkelt transaktion eller behandlingsformål. CPR-nummeret udgør et effektivt redskab i både myndigheder og virksomheder, men det udgør også en stadig større risiko for den enkelte borgers privatlivsbeskyttelse. Kender man fødselsdato og køn på en person, kan de sidste fire cifre i CPR-nummeret afsløres ved 40 gæt. Nummeret er simpelthen ikke egnet til en digital tidsalder.

Laissez-faire reaktion
De manglende sanktioner i sagen udgør et fjerde problem. I lyset af udviklingen i den EU-retlige beskyttelse af privatliv og persondata, er det overraskende, at sagen ikke fører til sanktioner. Vi taler om, at stort set hele den danske befolknings grundrettighed til persondatabeskyttelse er tilsidesat.  Bruddet er omfattende både i omfang og indhold – sundhedsoplysninger er nogle af de mest følsomme oplysninger, vi har. Og konsekvenserne for både den enkelte borger og for Danmark som land ligger uden for vores fatteevne. Alligevel sker der ingenting. Ingen alvorlig kritik af sundhedsministeren, af direktøren for SSI og af de ansvarlige medarbejdere hos såvel SSI som Danmarks Statistik. I stedet ser vi en laissez-faire reaktion, hvor der blot henvises til, at der er tillid til, at den kinesiske medarbejder hos Cits ikke har kigget på CD’erne.

Den konkrete sag er derfor ikke kun et enkeltstående eksempel på dårlig informationssikkerhed, men illustrerer en brist i den danske opfattelse af vigtigheden af at beskytte borgernes data i en digital tidsalder, hvor persondata kun bliver mere og mere værd. Vi har endnu ikke indarbejdet beslutningsprocesser og  arbejdsrutiner, der tager udgangspunkt i, at persondata tilhører den enkelte borger og ikke en forvaltningsenhed, et sundhedssystem eller en virksomhed.

Rigsrevisionen har da også flere gange udtalt skarp kritik af sikkerhedsniveauet i statslige institutioner, der behandler og modtager fortrolige persondata, herunder Danmarks Statistik.

Cybersikkerhed og privatlivsbeskyttelse er højt prioriteret i EU. Forordningen om persondatabeskyttelse knæsætter det enkelte menneskes ret til at kontrollere egne persondata og stiller skrappe krav til sikkerheden, bl.a. krav om kryptering af persondata, når der er risiko for, at dataene kan misbruges eller tilgås af uvedkommende. Et nyt direktiv stiller derudover krav om, at virksomheder og myndigheder, der oplever sikkerhedsbrud skal indberette disse til tilsynsmyndigheden. For at understrege alvorligheden af at krænke grundrettigheden til persondatabeskyttelse er forordningens sanktion for ikke at opfylde sikkerhedskravene fastsat som et bødekrav, der for kan udgøre 10 mio. euro eller for virksomheder op til 2 % af deres årlige globale omsætning. Bødekravet gælder også for offentlige myndigheder – bare ikke i Danmark, hvor justitsministeriet har formået at skrive sig ud af forpligtelsen for danske myndigheder.

Håndteringen af den konkrete sag tyder på en total manglende forståelse for, at persondata er en guldmine, der kræver effektiv beskyttelse. Samlet råber hændelsen på en øjeblikkelig politisk reaktion, en synlig sanktion samt et niveau op i modenhed i forhold til øget ansvarlighed og dataetik hos politikere, beslutningstagere og medarbejdere.

Offentliggjort i Jyllands-Posten 27.7.2016

Comments are closed.