Sagen om Økonomi- og Indenrigsministeriet, der i sidste uge stod bag en datalækage og lod 900.000 danske CPR-numre ligge til frit skue på den såkaldte Robinsonliste, er blevet til en sag hos Datatilsynet.
I en meddelelse fredag skriver tilsynet, at det har: “besluttet at indlede en sag af egen drift mod Økonomi- og Indenrigsministeriet bl.a. med henblik på at finde ud af, hvad der specifikt er sket, hvad ministeriet vil gøre fremadrettet for at undgå, at noget lignende kan ske igen, og om der skal udtales kritik mod ministeriet som følge af lækken af de ca. 900.000 borgeres cpr-numre.”
Robinsonlisten er en intern liste i Det Centrale Personregister over forbrugere, der har bedt sig fri fra uopfordrede skriftlige og telefoniske henvendelser i markedsføringsøjemed. Optagelse på listen sker ved henvendelse til folkeregistret. Før en virksomhed henvender sig til forbrugeren er den forpligtet til at tjekke, om forbrugeren er optaget i Robinsonlisten. Hvis det er tilfældet, må virksomheden ikke kontakte forbrugeren. Robinsonlisten blev indført i Danmark i 2000 gennem en ændring af Markedsføringsloven og Persondataloven.
Det amerikanskejede it-selskab CSC har til opgave hvert kvartal at levere listen til CPR-kontoret, hvilket selskabet har gjort siden år 2000. Men tirsdag havde CSC problemer med selskabets batchkørsler, og det påvirkede udarbejdelsen af den opdaterede version af den Robinson-liste, som CSC skulle levere.
Da CSC blev rykket for listen, endte selskabet med at udlevere en version, hvor der endnu ikke var kørt de batchprogrammer, som skulle fjerne CPR-numrene fra udtrækket fra CPR-registret, som er grundlaget for listen.
Hverken hos CSC eller hos CPR-Kontoret blev listen kontrolleret, inden den blev lagt ud på den tjeneste, hvorfra cirka 600 tilmeldte virksomheder henter listen. 15 virksomheder nåede at downloade listen inden lækken blev opdaget og stoppet.
Finn Gilling fra firmaet Gilling ApS er krediteret som første mand, der opdager lækagen og kontakter CPR-kontoret. Gilling arbejder som statens distributør af ejendomsoplysninger. Senere på aftenen modtaget Finn Gilling besked om, at listen er taget ned. Finn Gilling, som til daglig arbejder med personfølsomme data, siger til Børsen, at han betragter det danske CPR-system som så kompromitteret, at et CPR-nummer alene ikke længere bør kunne benyttes til nogen former for online-transaktioner.
Datatilsynet oplyser at det på nuværende tidspunkt har modtaget flere klager fra nogle af de ca. 900.000 borgere, hvis cpr-numre var omfattet af lækken hos Økonomi- og Indenrigsministeriet.
»Vi vil nu tage kontakt til cpr-kontoret og bede dem om at komme med en redegørelse. Vi vil blandt andet spørge dem til, hvad der er sket, og hvad de vil gøre fremadrettet for, det ikke sker igen. Det er helt standard, når der er en sikkerhedsbrist af den her størrelse«, siger Jesper Vang, der er specialkonsulent i Datatilsynet.
Til avisen Politiken fortæller han, at cpr-kontorets fejl ikke kan få de samme konsekvenser, som hvis det havde været en privat virksomhed, der havde lækket cpr-numrene.
»Nu er det jo en offentlig myndighed, og så er vi lidt begrænset i, hvad vi kan. Hvis en privat havde gjort noget tilsvarende, ville vi nok tale om en politianmeldelse. Den mulighed eksisterer ikke i forhold til offentlige myndigheder. Det er der ikke hjemmel til i persondataloven«, siger Jesper Vang.
Leave a Reply