Nyheder

Her finder du nyheder om persondatabeskyttelse.

Alvorlig kritik af utilstrækkelig sikkerhed ved MitID

Den 30. juni 2023

Datatilsynet udtaler alvorlig kritik af både Digitaliseringsstyrelsen og Signaturgruppen i en sag, hvor begge parter havde ansvar for utilstrækkelig sikkerhed i forbindelse med login med MitID.

I januar 2022 kom flere borgere ud for, at de ved login i deres netbank via MitID fik adgang til andre borgeres konti. Dette blev anmeldt til Datatilsynet som brud på persondatasikkerheden af tre pengeinstitutter. Det fik Datatilsynet til at tage en sag op af egen drift for at undersøge det bagvedliggende problem.

Fejlen viste sig at skyldes, at login-anmodninger til samme netbank inden for millisekunder i særlige tilfælde kunne medføre, at MitID udstedte et såkaldt token til en anden session. Denne fejl kunne være undgået, hvis brokeren (den virksomhed, der formidler autentifikationssvaret – i dette tilfælde Signaturgruppen) havde valideret borgernes login med en teknologi, som kaldes Broker Security Context. Digitaliseringsstyrelsen, som er dataansvarlig for MitID, havde anbefalet dette, men ikke stillet det som et krav.

Kritikken har medført, at du nu skal anvende en QR-kode i stedet, når du bruger forskellige devices til at logge ind.

Ny vejledning om data i relation til ansættelser fra Datatilsynet

Den 29. marts 2023

Datatilsynets vejledning om databeskyttelse i ansættelsesforhold er revideret.

Opdateringen er sket i lyset af tilsynets seneste praksis, herunder om indhentelse af straffeattester og referencer. Datatilsynet har herudover præciseret en række afsnit, herunder om arbejdsgiverens oplysningspligt og videregivelse af personoplysninger. Endelig er vejledningens opbygning justeret for at gøre vejledningen mere letlæselig og brugbar.

Helsingør Kommune sendte personlige elevdata til Google uden samtykke

Nu er det snart et år siden, Datatilsynet forbød brugen af Google Workspace i Helsingør Kommune. Siden er softwaren taget i brug igen, mens et større arbejde har stået på hos 53 kommuner, der sammen med Kommunernes Landsforening har været i dialog med både leverandøren og Datatilsynet.

I en ny podcastepisode samler Datatilsynet op på sagen og fortæller om det arbejde, der er sket – og forventningerne til en afslutning på sagen.

Find episoden her – eller der, hvor du plejer at høre podcasts

Nedenfor er vor oprindelige beskrivelse af sagen:

21. januar 2020

Helsingør Kommune har udleveret personoplysninger på kommunens elever til Youtube uden at have fået samtykke fra forældrene. Da problemet blev opdaget, orienterede kommunen ikke Datatilsynet om sagen.

Helsingør Kommune har givet personlige oplysninger om skoleelever videre til Google-ejede Youtube. Det på trods af, at kommunen ikke har haft en gyldig databehandleraftale. Det skriver Politiken. Det er sket, efter at kommunen har indgået et samarbejde med Google om at give skoleeleverne bærbare computere kaldet Chromebooks.

Elevernes oplysninger er blevet givet videre uden samtykke fra forældrene, og da kommunen opdagede, at der var en fejl, blev det ikke oplyst til Datatilsynet.

Ifølge Lars Rich, der er direktør i Helsingør Kommune, blev fejlen rettet hurtigst muligt.

»Problemet er, at elever kunne logge direkte på YouTube, og at man der fik barnets navn, klassetrin og skole at se, når man skrev en kommentar. Det skal man selvfølgelig ikke kunne, og da vi bliver bekendt med det, slår vi det fra med det samme,« siger Lars Rich til Politiken.

Cirka halvdelen af landets kommuner har et samarbejde med Google om de såkaldte Chromebooks, men det er ikke alle skoler i de samarbejdende kommuner, som er omfattet af aftalen med Google. Der findes derfor ikke et præcist tal for, hvor mange elever som har en Chromebook.

Club Matas får alvorlig kritik af Datatilsynet

Den 20. april 2021 (j.nr. 2018-41-0012)

Club Matas har i følge Datatilsynet ikke overholdt deres forpligtelser overfor deres klubkunder, når de behandler kundernes data. Det hang blandt andet sammen med, at det afgivne samtykke ikke differentierede mellem samtykke til behandling af personoplysninger og samtykke til markedsføring. Samtykket i øvrigt opfyldte heller ikke kravene til at være både frivilligt, informeret, specifikt og utvetydigt.

Yderligere havde Matas ikke gennemført en risikovurdering i relation til håndteringen af databehandlingen, hvilket Datatilsynet også fandt gav anledning til kritik.

Rejsekortet får påtale

Den 3. november 2020 (j.nr. 2019-32-0709)

Rejsekortet får alvorlig kritik for ikke at have behandlingsgrundlaget på plads i forhold til rejsende, som anvender rejsekortet.

En person havde klaget over, at Rejsekortet ikke havde slettet alle hans data om foretagne rejser og den aftale, som han oprindelig havde indgået, men efterfølgende havde opsagt. Dette var ikke sket, selvom borgeren har ret til at blive “glemt”/slettet efter GDPR og iøvrigt efter, at han havde trukket sit oprindelige samtykke tilbage.

De første kommuner er indstillet til bøder

Den 10. marts 2020 – Datatilsynet/Marianne von Eyben

Gladsaxe og Hørsholm kommuner er som de første offentlige institutioner indstillet til bøder for at overtræde GDPR. For begge sager gælder, at data er kommet udenfor kommunerne, fordi bærbare PC-ere ikke har været krypteret.

Gladsaxe kommune er indstillet til en bøde på 100.000 kr. for at have mistet en PC-er med data på 20.620 borgere (både personnumre og data af følsom karakter) ved et tyveri på kommunekontoret.

Hørsholm kommune er indstillet til en bøde på 50.000 kr. for at have mistet en PC-er med data på 1.600 medarbejdere (både personnumre og data af følsom karakter) ved et tyveri af en medarbejder-PC fra medarbejderens bil.

For begge kommuner gælder, at sikkerhedsbruddet er alvorligt, fordi hverken borgere eller medarbejdere kan fravælge, at kommunerne håndterer deres data. Derfor skal kommunerne være særdeles opmærksomme på deres sikkerhedsprocedurer, herunder at enhver PC-er skal være udstyret med en krypteringsfacilitet, og den skal være aktiveret, når PC-en lades uden opsyn.

Det er politiet, som i Danmark skal vurdere, om der er begået en strafbar handling, som kan danne grundlag for en sigtelse af kommunerne. Herefter er det domstolene i Danmark, som skal træffe beslutning, om indstillingen til bøde vil blive stadfæstet i en dom.

Markedsføring af lån til hasardspillere var ulovlig

Den 5. februar 2020 – Marianne von Eyben

Forbrugerombudsmanden har vurderet, at et selskab overtrådte god markedsføringsskik ved at målrette markedsføringen (targeted advertising) af en låneportal på Facebook mod personer med interesse for spil.

Markedsføringen var rettet mod mænd mellem 28 og 45 år, som havde spillet online poker eller lignende. Det var uetisk og ikke socialt ansvarligt. Der var hermed sket en profilering af brugeren, inden markedsføringen blev gennemført.

Advokatselskabet Plesner har vurderet, at sådan markedsføring kan give anledning til databeskyttelsesretlig problemer, blandt andet fordi den næppe er i overensstemmelse med GDPR, da det er et krav, at behandlingen af personoplysninger skal være lovlig, rimelig og gennemsigtig.

Amazons ‘Ring’ sender beboeres persondata til Google og Facebook

30. januar 2020 Jacob Lund Madsen

‘Ring’-systemet sender ejerens navn, IP-adresse, mobiloperatør og sensordata til flere unavngivne analyse- og marketingsfirmaer. Ifølge foreningen Electronic Frontier Foundation er både Google og Facebook blandt modtagerne.

Hjemmesikkerhedssystemet ‘Ring’ sender beboerens persondata videre til flere analyse- og marketingfirmaer, heriblandt Facebook og Google.

Det vurderer foreningen Electronic Frontier Foundation på baggrund af sin egen undersøgelse, der kalder denne praksis for grundlæggende spionage.

‘Ring’, der ejes af amerikanske Amazon, bruges i praksis som en dørklokke med et indbygget kamera, der kan tilkobles eventuelle øvrige overvågningskameraer i husstanden.

Men det er ikke kun tyve og andre ubudne gæster, der risikerer at blive overvåget af kamerasystemet – det gælder også beboeren selv.

Der kommer nemlig flere tredjeparts-trackere med om bord, når man anvender Rings mobile app til at administrere systemet. Trackerne får tilsendt beboerens navn, IP-adresse, navn på mobiloperatør og sensordata fra interaktioner med Ring-systemet. Flere af tredjeparterne får også detaljerede oversigter over, hvornår appen anvendes, hvornår den deaktiveres, mobiltelefonens tidszone og model samt flere informationer om den enkelte brugers præferencer.

Electronic Frontier Foundation (EFF) har efter eget udsagn fundet frem til de fem tredjepartsmodtagere, som modtager persondata fra Ring-brugerne. De to mest iøjefaldende er Facebook og Google. MixPanel, AppsFlyer og Branch indsamler ifølge EFF også data fra Ring.

Politi – sporing af telefoner

28. januar 2020 – Version2

Det er Skandinaviens største teleselskab, Telenor, der ved en fejl har sendt indholdet af op mod 1.000 danskeres SMS-beskeder til Rigspolitiet. Det bekræfter en aktindsigt og flere af hinanden uafhængige kilder over for DR Nyheder.

Historien kommer, efter Jyllands-Posten lørdag skrev, at et ukendt mobilselskab havde sendt danskeres SMS-beskeder til Rigspolitiet. Hverken teleselskabet eller politiet burde ifølge fagfolk dog have adgang til indholdet i beskederne, og politiet havde ikke bedt om at få dem udleveret.

I Jyllands-Posten fremgik det, at Rigspolitiets chef for databeskyttelse, Christian Svanberg i maj 2019 beskrev problemer med, at politiet modtog indhold af SMS-beskeder fra det omtalte mobilselskab. Indholdet af SMS-beskederne kom, når politiet bad om adgang til såkaldt signaliseringsdata fra teleselskaberne, som politiet bruger i forbindelse med efterforskning af kriminalitet.

Ifølge IT-sikkerhedsekspert Peter Kruse, stifter af selskabet CSIS, er det meget alvorligt, at et stort dansk teleselskab ikke har passet på kundernes fortrolige beskeder:

  • Det er utilgiveligt, at data af den her type, som slet ikke er relevant for den efterforskning, som politiet skal foretage, lander de forkerte steder.
  • Jeg havde faktisk håbet, at det var et mere umodent teleselskab, der stod bag. Jeg havde ikke forventet, at det var en af mastodonterne i telebranchen, lyder det fra Peter Kruse.

Hos Telenor har man ikke ønsket at stille op til interview, men selskabets juridiske direktør, Mette Eistrøm Krüger, skriver til DR Nyheder:

  • Der er tale om en fejl i en enkeltstående protokol, der har betydet, at sletningen ikke har fungeret i en kort periode fra marts 2019 til maj 2019. Det er dybt beklageligt, og der er sket en teknisk fejl, som ikke burde kunne ske.

Hun forklarer også, hvorfor Telenor ikke har stået frem indtil nu:

  • Det har ikke været klart, om en offentliggørelse kunne påvirke politiets arbejde, men nu, hvor det ad anden vej er kommet offentligheden til kende, er det ikke et hensyn, vi har kunnet fastholde.

Telenor har taget kontakt til politiet for at undersøge, om man kan orientere de berørte kunder. Det vil dog kræve, at politiet sender datasættet tilbage til Telenor, som ikke længere har adgang til det.

I DR Nyheders aktindsigt fremgår det, at Rigsadvokaten og Rigspolitiet også drøfter SMS-problemet på mail den 3. juni 2019. Her er problemet stadig ikke løst.

  • Vi bør hurtigst muligt tage fat i Telenor på passende niveau for at få løst problematikken fremadrettet, lyder det fra statsadvokat Rasmus Kieffer-Kristensen.

Herefter skulle Telenor have løst problemet. Men politiet bliver fejlagtigt ved med at modtage oplysninger fra Telenor om, hvem en person kommunikerer med. Oplysninger, som politiet heller ikke må have adgang til. Derfor bliver Rigspolitiet ifølge DR Nyheders oplysninger nødt til selv at etablere en løsning internt i politiets telecenter, som filtrerer de fejlagtige oplysninger væk. Det sker, fordi Telenor ikke selv kan udvikle sådan en løsning.

Allerede i sommeren 2019 løftede Rigspolitiet sløret for en række konkrete fejl, der var i de teledata, som politiet har modtaget direkte fra landets fire store teleselskaber, og som har indgået i både efterforskninger og straffesager.

Blandt andet havde politiet oplevet, at en telefon var registreret som værende i København og Frederikshavn på samme tid. Også teleudbydernes lister over placeringen af master var i flere tilfælde ikke korrekte og opdaterede.

Samtidig havde politiet i nogle perioder ikke kunnet få fat i oplysninger fra enkelte teleselskaber, når der var tale om telefonopkald over trådløst netværk eller opkald over 4G-netværket (LTE). Fejlen betød, at politiet ikke fik udleveret rådata om samtalerne fra teleselskaberne, når de bad om det.

Signaleringsdata: Hvad ved vi?

Signaleringsdata giver oplysninger om, hvor en mobiltelefon befinder sig på specifikke tidspunkter.

Signaleringsdata adskiller sig fra almindelige teleoplysninger ved, at det også viser, når en telefon signalerer til mobilnetværket, selvom telefonen ikke aktivt bliver anvendt på tidspunktet.

Det er data, som danske teleselskaber opbevarer med det formål at rette og forbedre deres service.

Politiet kan også få den data udleveret i forbindelse med efterforskninger.

Normalt gemmer teleselskaberne kun info om afsendte SMS-beskeder som en del af signaleringsdata, men sletter al indhold fra beskederne.

Kilde: Rigspolitiet og Teleindustrien

Telenor blev ad mindst to omgange informeret om, at noget var helt galt med udleveringen af teledata. Ikke desto mindre fortsatte lækket.

Op mod tusinde danskeres personlige SMS’er er endt hos politiet på grund af en teknisk fejl hos Telenor. På femtedagen for den oprindelige afsløring i Jyllands-Posten vil Telenor stadig ikke stille op til interview med Version2.

Derfor ved offentligheden endnu ikke, hvorfor Nordens største teleselskab ikke reagerede, da Rigspolitiet i marts 2019 informerede om, at noget var rivravruskende galt med udleveringen af teledata hos Telenor. Vi ved heller ikke, hvorfor selskabet ikke informerede de relevante myndigheder om lækket.

Eller hvordan man fremadrettet kan stole på, at Telenor prioriterer at sikre forbrugernes private oplysninger, når der udleveres data til politiet.

Advaret flere gange

Version2 har dog fået indsigt i et telefonnotat, der beskriver, hvordan Rigspolitiets databeskyttelses-chef, Christian Svanberg, ad to omgange har påpeget fejlen over for Telenor, der allerede efter første henvendelse lovede at fikse problemet.

Men fordi Telenor efter første henvendelse ikke løste problemet, vendte Christian Svanberg tilbage til Mette Krüger, Telenors direktør for virksomhedsanliggender:

»Rigspolitiet har imidlertid kunnet konstatere, at problemstillingen fortsat opstår i visse sager. Det blev understreget over for Mette Krüger, at Rigspolitiet ser med alvor på sagen og ønsker problemstillingen adresseret fra Telenors side,« noterer Christian Svanberg.

På trods af at Telenor allerede var blevet advaret, blev man tilsyneladende overrasket hos teleselskabet, da Rigspolitiet henvendte sig igen.

»Mette Krüger udtrykte overraskelse i anledning af det oplyste. Hun tilkendegav, at hun straks ville undersøge sagen og vende tilbage til undertegnede,« noterer Christian Svanberg.

»Simpelt filter slået fra«

Hvad der sker herefter, vides ikke. Vi ved ikke, om lækket fortsætter, men vi ved jævnfør DR, at politiet selv har implementeret et system, der sletter de ulovlige SMS-data.

Silkeborg Kommune lækker 537 CPR-numre til én borger

23. januar 2020 – Version2

I materialet ved en aktindsigt fremgik 537 personnumre. Personen, der modtog dem, meldte det straks til kommunen, der selv har meldt episoden til datatilsynet.

537 personnumre er blevet videresendt til én person, der har søgt aktindsigt i Silkeborg Kommune. Det er borgere fra området omkring Marsvinlund, der har fået lækket deres personoplysninger, skriver TV Midtvest

Ifølge kommunens hjemmeside er episoden meldt til Datatilsynet. Silkeborg Kommune har via et link delt omkring 1.100 siders materiale, og personnumrene indgår altså på nogle af siderne. Modtager blev chokeret.

TV2 Østjylland har været i kontakt med personen, der modtog materialet, som er »chokeret over, at det kan ske« og desuden kalder det den »en skandale«. 

Teknik- og miljøchef i Silkeborg Kommune Lotta Dybdahl Sandsgaard har udtalt, at man hos Silkeborg Kommune er kede af hændelsen, som er “meget beklagelig”. Hun fortæller også, at adgangen til materialet er blevet fjernet. Borgerne, der har fået lækket deres personnummer, har fået besked, og modtageren af materialet udtaler også, at det er blevet slettet.

Uhindret adgang til 500.000 cpr-numre og sundhedsdata i Region Syddanmark

Ekstra Bladet

Regionen har ikke ulejliget sig med at informere de berørte patienter.

I mere end fem år havde flere tusinde ansatte i Region Syddanmark adgang til navn, cpr-nummer og hjerteoplysninger på 504.596 patienter, som havde besøgt Sygehus Lillebælt mellem 2013 og 2018.

Herunder alle Region Syddanmarks 26.000 ansatte fra studentermedhjælpere til direktører og et ukendt antal samarbejdspartnere fra ind- og udland, skriver Ekstra Bladet.

Regionerne indrømmer, at konsekvenserne kan være omfattende, blandt andet fordi de mange data kan bruges til omfattende identitetstyverier.

Det fremgår af Region Syddanmarks egen anmeldelse til Datatilsynet fra 1. juni 2018, som Ekstra Bladet har fået aktindsigt i. Patienterne har aldrig fået direkte besked om sagen.

»Det synes jeg fandeme er frækt. Det har jeg jo slet ikke hørt,« siger den 66-årige patient Jette Hansen, da Ekstra Bladet på Sygehus Lillebælts parkeringsplads fortæller hende om fejlen i Sygehus Lillebælts it-system.

Helsingør Kommune sendte personlige elevdata til Google uden samtykke

21. januar 2020

Helsingør Kommune har udleveret personoplysninger på kommunens elever til Youtube uden at have fået samtykke fra forældrene. Da problemet blev opdaget, orienterede kommunen ikke Datatilsynet om sagen.

Helsingør Kommune har givet personlige oplysninger om skoleelever videre til Google-ejede Youtube. Det på trods af, at kommunen ikke har haft en gyldig databehandleraftale. Det skriver Politiken. Det er sket, efter at kommunen har indgået et samarbejde med Google om at give skoleeleverne bærbare computere kaldet Chromebooks.

Elevernes oplysninger er blevet givet videre uden samtykke fra forældrene, og da kommunen opdagede, at der var en fejl, blev det ikke oplyst til Datatilsynet.

Ifølge Lars Rich, der er direktør i Helsingør Kommune, blev fejlen rettet hurtigst muligt.

»Problemet er, at elever kunne logge direkte på YouTube, og at man der fik barnets navn, klassetrin og skole at se, når man skrev en kommentar. Det skal man selvfølgelig ikke kunne, og da vi bliver bekendt med det, slår vi det fra med det samme,« siger Lars Rich til Politiken.

Cirka halvdelen af landets kommuner har et samarbejde med Google om de såkaldte Chromebooks, men det er ikke alle skoler i de samarbejdende kommuner, som er omfattet af aftalen med Google. Der findes derfor ikke et præcist tal for, hvor mange elever som har en Chromebook.

Google viste ejere af kinesiske kameraer billeder fra vildtfremmede hjem

3. januar 2020

Brugere af Google Nest Hub har fået billeder ind fra overvågningskameraer i fremmede hjem. Nu har Google lukket ned for adgang til Xiaomi-kameraer.

Google har spærret for, at brugere kan tilknytte overvågningskameraer fra den kinesiske producent Xiaomi til en Google Home-konto.

Det sker efter, at flere brugere har oplevet, at de så billeder fra andres Xiaomi-kameraer i stedet for deres egne og dermed kunne se, hvad der foregik i andre menneskers hjem. The Android Police var det første medie til at fortælle om problemet.

Billederne fra tilfældige hjem er dukket op under streaming af indhold fra eget kamera til en Google Nest Hub, der er en skærmbaseret hjemmeassistent.

Uvedkommende har bl.a. set billeder af sovende mennesker og et spædbarn i en vugge.

En reddit-bruger har uploaded en video af de forkerte billeder.

Der har været flere tilfælde af sikkerhedsproblemer med IP-baserede overvågningskameraer, bl.a. sårbarheder, der var nemme at udnytte i tidlige modeller.

Lige efter jul måtte kameraproducenten Wyze erkende, at en usikker server havde eksponeret 2,4 millioner kunders data i mere end tre uger. Kameraer fra Ring har manglet grundlæggende sikkerhedsforanstaltninger for at forhindre uautoriseret adgang.

Knap 7,5 millioner telekunder i Skandinavien har været ramt af voicemail-sårbarhed

Den 4. december 2019

Hacker-metode vendt mod mobilsvar har været kendt i 13 år. Knap 1,45 millioner Telia-mobilkunder har i Danmark været omfattet af sårbarheden, som først blev lukket for nylig.

Næsten 7,5 millioner mobilabonnenter i Danmark, Norge og Sverige har haft en mobiltelefonsvarer, der indtil for ganske nylig var yderst sårbar over for hacking.

Det viser en optælling, som det norske medie, Digi.no har gennemført.

Det har ved hjælp af nem tilgængelig teknologi været muligt for uvedkommende at foretage et opkald med en andet nummer end ens eget og dermed få direkte adgang til voicemails.

Digi.no’s opgørelse viser, at i Norge har to millioner Telenor-abonnenters voicemail været sårbare i langt over ti år. I Sverige har Tele2s 3,9 millioner kunder været sårbare i samme tidsrum. I Danmark har 1,45 millioner Telia-mobilkunder været omfattet af sårbarheden. Afsløringen af sårbarheden er gennemført i samarbejde med it-sikkerhedsekspert Per Thorsheim.

Allerede i sidste uge kunne Digi.no afsløre, at det på den måde er muligt ved at forfalske opkaldsnumre og ringe direkte ind i private voicemail – uden pinkode . Alene hos Telenor har to millioner norske kunder med voicemailen i årevis været sårbare over for et kendt angreb med såkaldt spoofing.