Dorte Toft
Medforfatter af "Bedrag" om Stein Bagger-sagen, hvor Bizzen-bloggen spiller en væsentlig rolle. Har modtaget eJour-prisen, IT-prisen, FUJ-prisen og Publicistprisen for sin journalistik. Desuden nomineret til Cavling-prisen i 2009.
Lykkelig i nørdland. Hvem bygger fremtiden? Gyldendal, 256 s., kr. 249,95.
Læs mere hos Boghuset eller download bogen gratis her.
Danmark er bagud på et område, hvor vi er det sidste land, der burde være det. Vi har med cpr-systemet og NemID et af verdens mest entydige, effektive identifikationssystemer af borgere, patienter og kunder, men der er endnu ikke taget højde for bagsiden af medaljen. Entydigheden indebærer større sårbarhed, både over for sjusk og for når kriminelle får snablen ned i dataregistre og netbanker.
Den person, der får stjålet sin identitet og/eller sine penge, kan ende i et Kafkask mareridt, men det kan reduceres, hvis “nogen” får sikret et højt informationsniveau og en hjælpende hånd i sådanne situationer. For den lille virksomhed kan en hacket netbank som bekendt lede til økonomisk ruin, omend økonomiministeren så småt åbner for muligheden af en forsikringsbaseret løsning.
Gamle verden sikret i hoved og bag
Vi har en godt sikret assistance rettet mod den “gamle” verdens forsyndelser. Lover en butik mere, end den holdt, kan man få hjælp af forbrugerombudsmanden. Svigter en offentlig myndighed sin pligt, kan den svigtede gå til ombudsmanden.
Men problemer i den “nye” verden er ignoreret. Den, der får stjålet sin identitet, står på bar mark og i mange tilfælde med bevisbyrden for at være uskyldig. Selv ved noget så “banalt” som at få stjålet sin email-identitet kan være alvorligt nok, for skaden af, hvad den anden udsender i ens navn, kan være enorm.
Informationshul
Den med “uskyldig indtil andet er bevist”, fungerer vist kun i retssalen.
Vi har behov for, hvad der kan kaldes en ID-ombudsmand, hvis kontor også skal sikre et websted med al nødvendig vejledning til den, der er kommet i knibe.
Webstedet skal være en slags one-stop-shop for de spørgsmål, man typisk vil stille indledningsvis, hvis ens ID er stjålet, ens bankkonto hacket, ens kontoudtog belastet af køb, man aldrig har foretaget, ens mailkonto som vært for phishing med videre.
Øget behov med NemID
Behovet for hjælp øges i disse måneder. NemID bliver nu en entydig identifikation over for både det offentlige, banken og andre selskaber og organisationer, og vi har allerede set de første sjuskefejl. En 17-årige fik adgang til en fremmed kvindes netbank, og DanID må spærre for knap 28.000 NemID’er.
Omkostningerne til endnu et ombudsmandskontor? Der ligger nok et og andet bureaukrati rettet mod en for længst betydningsløs verden, hvorfra pengene kan tages. Der ligger garanteret også et og andet vildtvokset kontrolsystem, der bør skæres ned. Bidrag gerne med forslag i kommentarfeltet.
Pligt til at informere om data-lækage
Men en ID-ombudsmand udgør ikke det eneste påtrængende behov i en verden, hvor data i elektronisk form kan være vigtige end i fysisk form.
Der burde for længst være indført en pligt til at give berørte borgere i Danmark besked, hvis et register med følsomme oplysninger (bankkonti, kreditkort, sygdom m.v.) er blevet hacket, eller forsvundet i en glemt USB-nøgle eller stjålet pc. Ligesom Californien har haft det siden 2003 – et eksempel foreløbig 40 andre stater har fulgt.
En notifikationspligt gør det umuligt at feje problemet med sløset omfang med persondata ind under gulvtæppet. Det muliggør også, at borgeren, der i sidste end kan være ramt, får en mulighed for selv at holde nøje øje med usædvanlige hændelser.
Da 45 millioner kreditkort blev kopieret
Da jeg i 2007 kunne læse i amerikanske medier, at data om 45 millioner kreditkortkøb var suget ud af den store amerikanske detailkoncern TJX Corp., blev jeg klar over, at mit eget Masterkort var i fazezonen. Jeg var i den berørte periode i USA og kunde i en af TJX-detailkæderne.
Herhjemme fik jeg ringet mig frem til beskeden fra PBS: “Cirka 1000 kort udstedt i Danmark er i farezonen”. Om mit var iblandt kunne jeg ikke få at vide, selv om PBS måtte have en liste.
Det er ret så typisk. “Der er ingen grund til at vække unødig uro”, lyder svaret normalt fra finansektoren, der åbenbart betragter sine kunder som børn.
EU viser vej
For en person som mig, der stemte nej til EU i 1972, er det jo paradoksalt at se, at det endnu en gang vil blive EU, der får banket fornuft ind i hovedet på Danmark.
EU har allerede fået indført, at telesektoren har en notifikationspligt, sker der data-lækage. Nu arbejdes på en udvidelse af et EU ePrivacy-direktiv om, at der skal indføres en pan-europæisk informationspligt for alle, der har hånd om personfølsomme data. Hvor længe det tager, aner jeg ikke, men giv gerne et bud.
Imens kan vi danskere med vores supereffektive identifikationsystem så se på, at store lande i Europa samt Canada er godt i gang med at indføre oplysningspligt.
Guldgrube af viden
Hvor omfattende problemet er, og hvor stor en hjælp der er behov for i forskellige sammenhænge fremgår af webstedet PrivacyRights.org. Must read.
OBS: Fokus
Hold venligst debatten her til emnet ID-ombudsmand samt informationspligt ved data-lækage. Diskussionen for og imod NemID er taget flere tidligere her på bloggen, og kommer garanteret igen. Jeg selv har aldrig lagt skjul på, at jeg er luren ved én fælles nøgle til alt. Giv mig én NemID til netbanken, én til det offentlige og én til alt andet.
Så kære politiker, it-ordfører eller ej. Hvorfor har du ikke forlængst ageret? Og alle i andre? Har I et godt bud på, at Danmark halter bagefter, eller mener du måske, at jeg lider af datalæk-paranoia?
PS: Tak for inspiration til de øvrige deltagere i paneldebatten “Når skaden er sket!” på konferencen Sikkerhed og Revision 2010, og til debattørerne i salen.
7. september 2010 kl. 21:34
Jeg forstår ikke, hvad du mener med ID-ombudsmand.
Er det en E-mail adresse, et kontor, en styrelse?
Det lyder som om, at du ikke har tillid til de eksisterende myndlgheder. Det er ikke nogen ny problemstilling.
Idag kan man ringe til PBS, men ikke maile til PBS, når ens dankort er blevet væk, men ikke maile.
Se f.eks:
http://www.pbs.dk/da/produkter/internationale-betalingskort/fakta-og-fordele/info-til-kortholdere/Pages/spaerring-af-kort.aspx
PBS har sikkert en god grund til det. Jeg kender den ikke, men måske er de bange for Spam-mails og ønsker en eller anden for for sporing (telefonnummer og evt. optaget stemme på bånd).
En af mine kollegaer fik spærret sit dankort, fordi han havde brugt det på et dansk hotel, hvor pinkoderne blev aflæst, så PBS arbejder da på sagen.
Personer, der har boet i Danmark hele deres liv har sikkert lettere ved at bevise deres identitet end nydanskere eller personer, der af diverse årsager opholder sig i Danmark.
Wissum-sagen er et eksempel på en israeler, der udgiver sig for at være en rig udlænding og beriger sig på andres regning.
Problemet med identitetstyveri er ikke nyt. F.eks. østtyske spioner, der kunne få udstedt officielle pas på paskontoret, fordi de kunne fødselsdatoen på en afdød. Cyrano de Bergerac, der døde i 1655 var en af pionerne indenfor falske dating-profiler, da han overtog sin fætters identitet og skrev til dennes kæreste, mens de var i krig.
7. september 2010 kl. 21:52
Spændende problemstilling! Det lyder som en opgave, der meget passende kunne forankres hos Dansk Internet Forum (http://difo.dk/), hvis de ellers vil. Det næste arrangement fra foreningen har ikke emnet på programmet (http://www.internetdagen.dk/index.asp?page_id=2), men måske én af indlægsholderne kunne tage problemet op?
8. september 2010 kl. 08:12
For lige at besvare ovenstående.
Der er flere grunde til at man ikke kan spærre kort via mail.
1. Besvar tiden. Det tager væsentlig længere tid at respondere på en mail, end via et telefon opkald. Som regel skal kort tyve ikke bruge lang tid på at sikre sig en god fortjeneste når de endelig får et kort i hænderne. Derfor er et opkald væsentlig hurtigere til at få kortet spærret.
2. Når et kort skal spærres, så er det vigtigt at det er kortholder der spærre det, eller en tæt på denne. Når man skal ringe for at spærre et kort, og tale med en fysisk person, så nedsætter man chikane drastisk. Hvis det bare var at spærre et kort over mail, så var der nok mange der ville benytte sig af dette bare for at chikanere andre mennesker. Et telefon opkald afholder mange mennesker fra dette.
For så at svare blog forfatter.
Grunden til at du ikke kan få information om hvor vidt dit kort er blandt de 1000 kort der er under overvågning handler om sikkerhed.
Sagen er den at får en tyv fat i flere kort, så er der en stor chance for at flere af disse kort bliver spærret hurtigt og/eller overvåget.
Hvis tyven så kunne kontakte PBS og få afvide hvilke kort der var overvåget, jamen så ryger ideen lidt. Når tyven bruger de kort der er overvåget, så er det med til at pinpointe hans lokalisation for både PBS og politi. Så ved han hvilke der bliver overvåget, ja så skiller han sig af med disse, og dermed mindskes chance for at pågribe ham.
8. september 2010 kl. 09:07
Godt forslag
Når PBS eller det offentlige erfarer identitetstyveri, er der ikke tale om nogen entydig reaktion. Skadelidte får efter omstændighederne godtgjort tabet, men for bankerne er målet kun at sikre, at tabene og sikkerhedsindsatsen ligger på et samlet bedømt matchet niveau.
Det levner ikke plads til hensyn til de rent menneskelige omkostninger, og torterstatning eller lignende har aldrig været på tale.
EUs udvidede forslag bør støttes.
Efter nogen overvejelse mener jeg, ideen om en særlig kommisær alene med identitetsbeskyttelse som område er en god idé.
Det kan jo begrænses til et årligt budget på et par millioner kroner.
8. september 2010 kl. 14:37
Til Karsten Krøger
Mener du virkelig at det er så svært at fastslå at Dorte Toft er den rette ejer af hendes kreditkort, at man ikke kan informere hende om, om kortet er under overvågning?
Information direkte til den (før tyveriet) registrerede kontakt-adresse for kortholderen kan næppe være en generel risiko for at identitetstyve skal få ekstra hjælp.
Den væsentligste grund til at de ikke vil ud med disse oplysninger er at de (med rette) tror at de kan holde antallet af erstatningssager nede, hvis de bare kan holde kunderne i uvidenhed om at deres data er kompromitterede.
Hvis der ikke er oplysningspligt om data tyveri, er det ofte umuligt for almindelige mennesker at bevise, hvor de stjålne oplysninger kommer fra når de er udsat for identitetstyveri.
Det er derfor tvingende nødvendigt at lovgivningen tvinger virksomheder og myndigheder til at oplyse alle ramte når deres data stjæles.
9. september 2010 kl. 01:38
Lækage ? Dem er der nok af !
Karl
9. september 2010 kl. 10:30
Jeg er helt enig I at der bør en eller anden form for informations pligt, i tilfælde af at eks. en virksomhed “mister” mine data. I dag, har en virksomhed ikke pligt til og informere dig om at dine data er blevet snuppet af en hacker, jeg tænker ikke bare på kredit kort oplysninger, hvor der jo er nogle krav til opbevaring, det kunne jo også være andre personlige data som man ikke ønsker 3. mand skal se.
Det kunne jo også gøre at online virksomheder blev lidt mere opmærksomme på håndtering af dine/mine data, hvis de var tvunget til og offentliggøre et datatab via en offentlig meddelse.
9. september 2010 kl. 10:38
@ Claus Nielsen. Som du er inde på. PBS kan blot orientere skriftligt til den adresse, der står i cpr-registret for den pågældende.
@ Ole Smitto. Der er ingen tvivl om, at en pligt til at indberette lækage vil fremme sikkerhedsindsatsen. For både det at skulle informere alle berørte og imagetabet, der følger af datalækagen, løber op i mange kroner.
@ C H. Ombudsmandsbegrebet ligger ret fast, og Google skaffer let nærmere information.
9. september 2010 kl. 11:57
@Dorte
Muligvis misforstod du min kommentar.
Der findes allerede en ombudsmand, der beskæftiger sig med mange forskellige statslige og kommunale myndigheder.
Hvorfor kan en ID-ombudsmand ikke passe ind i den eksisterende struktur?
I princippet skulle alle myndigheder have deres egen ombudsmand, hvis man skulle følge din tankegang.
Se
http://www.ombudsmanden.dk/ombudsmanden/
- CITAT START
Om ombudsmanden
Folketingets Ombudsmand vælges af Folketinget. Den nuværende ombudsmand er professor, dr.jur. Hans Gammeltoft-Hansen.
Folketingets Ombudsmand skal kontrollere statslige og kommunale myndigheder og andre offentlige forvaltningsmyndigheder.
Ombudsmanden kan behandle klager over forvaltningsmyndighedernes afgørelser og deres behandling af borgerne og sagerne. Herudover kan ombudsmanden tage sager op på eget initiativ og iværksætte generelle undersøgelser af en myndigheds behandling af sager.
Folketingets Ombudsmand kan også inspicere enhver institution og ethvert tjenestested der hører under ombudsmandens virksomhed. Inspektionerne foretages navnlig på steder hvor borgerne er berøvet deres frihed, dvs. fængsler, arresthuse, detentioner, psykiatriske hospitaler og lignende.
Folketingets Ombudsmand har ca. 85 medarbejdere.
I alt modtog ombudsmandsinstitutionen 4.089 klager i 2008. Ombudsmanden tog desuden 113 sager op på eget initiativ. Desuden blev der i 2007 oprettet 27 sager angående inspektioner af institutioner inden for ombudsmandens kompetence. Alle tal er foreløbige
- CITAT SLUT
9. september 2010 kl. 14:46
NemId er sikkert oprindeligt et ønske fra brugerne om forenkling af tilgangen til bank/kommune/stat via den altid nærværende PCér.
Som forhenværende IT manager må jeg så med mit kendskab til IT verdenen (som indeholder både venner og især fjender) advare mod en ensretning af informationer og adgangskoder op mod vores fælles nætværk.
Jeg forundres over den energi der lægges for dagen for at få alle os brugere med på NemId, især fra bankernes side.
Det er åbenbart et entydigt valg, der er åbenbart ingen vej udenom, man kan kun som forbruger kun vælge at udsætte overgangen til NemId.
Hvis jeg som bruger ikke vil deltage i NemId, hvordan skal jeg så forholde mig??
9. september 2010 kl. 16:06
@ C H. Giver du ikke selv svaret. Ombudsmanden gælder det offentlige. NemID favner det offentlige, banker og stort set enhver anden virksomhed, der ønsker at bruge det som log in/tjek af kunde/klient.
Den, der rammes, kan også blive ramt på flere fronter.
@ Sven Graversen. Dit afsluttende spørgsmål skal nok rettes til videnskabsministeriet/bank/det offentlige. Vil KMD’s fælles pinkode f.eks. fortsat være gyldig i det offentlige system? Men man kan næppe fortsætte med den gamle netbank-løsning.
9. september 2010 kl. 18:43
Nu tager Ombudsmanden sig slet ikke af civile sager. Kun i de ekstreme sager, hvor al anden sagsbehandling er udtømt herunder hele vejen til Højesteret. Så vent ikke nogen støtte fra Ombudsmanden, og en sådan ønsker vi da ikke at gentage i det hele taget. Forbrugerrådet er nedlagt, hvis det skulle være gået læserne forbi.
I øvrigt er finsanssektoren reguleret af love der står ved siden af al anden lov, læs de er ikke reguleret over for forbrugerne. Forsikringselskaberne kan overtage hinanden i det uendelige uden at den oprindelige aftale skal ændres og udvise det nye gældende juridiske forhold, mere plat kan det ikke blive. Når telebranchen, webhostmaster og lignende ikke bruger mail i det hele taget, er det fordi de slet ikke forstår, det de selv handler med. Det skal bare være så besværligt og kunstigt for brugerne som muligt.
NemID er da en eklatant gentagelse af samme. Jeg har fået flere ‘advarseler’ om, at nu kommer der NemID. Til dato har jeg ikke fået en eneste reel information, at her er dit NemID – hvad er det for noget sludder, man oversælger noget, der slet ikke er færdigt. Tinglysning agtigt.
9. september 2010 kl. 19:10
Nu skal jeg nok afholde mig fra at debattere NemID, blot forsigtigt stille spørgsmålet; hvem er det egentlig til fordel for, borgeren, der hidtil ganske udmærket har kunnet adskille de forskellige pin-koder, eller samfundet, der meget lettere kan overvåge borgeren i hoved og r.. ?
Men i forlængelse af dit ønske om en it-ombudsmand institution, undrer det mig grumme, at ingen medier har taget hele spørgsmålet om fremmede magters adgang til følsomme informationer om danskere, op og underkastet et særdeles kritisk gennemsyn. Det eneste man har læst, er den samme ritsau pressemeddelelse fra ministeriet.
For mig at se hænger disse ting sammen. For beskyttelse af informationer om borgere, hvad enten det er nemid info, personlige info, eller følsomme infor fra DNA og fingeraftryksregistre, er alle vigtige. For ellers ender vores demokratier jo stille og roligt med at udvikle sig til totalitært overvågningssamfund, hvor man ikke kan slå en prut uden at det registreres.
Og enden værre er det altså at en dansk minister ikke har problemer med at lade den amerikanske stat få fri adgang til alle de mennesker der er fanget i DNA-registret, eller fingeraftryksregistret. Mange er jo i registret alene af udelukkelseshensyn. OG hvad med de politikkere der har talt varmt for et landsdækkende DNA-register, med ALLE borgere deri.
Det synes jeg er mindst lige så bekymrende for enhver borger, der blot har et mindstemål af demokratisk frihedsopfattelse.
Og hvor er datatilsynet i denne sag og debat ?