Klage over afgørelse
 |
| Kilde: http://www.anklagemyndigheden.dk |
VTJ skriver blandt andet at ”Det praktiske arbejde […] har siden 2000 været udført […] under løbende kontrol fra CPR-kontorets side af, at CSC overholder de gældende sikkerhedsforskrifter. […] Det har ikke […] været et led i CPR-kontorets arbejde […] at kontrollere, at den ikke indeholdt oplysninger, den ikke måtte indeholde, f. eks. personnumre, idet man havde fuld tillid til, at listerne var i overensstemmelse med de af CPR-kontoret angivne forskrifter”.
Datatilsynet skriver i sin udtalelse: ”Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger – herunder personnumre – skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer”.
Der er efter min opfattelse ikke udvist særlig påpasselighed i omgangen med disse data, da der kun skulle en uventet hændelse hos CSC til, før der blev offentliggjort personfølsomme data.
Om de specifikke medarbejdere ”på gulvet” hos CPR-kontoret har handlet skødesløst efter Straffelovens §157 ved jeg ikke, men efter min opfattelse har de ledende medarbejdere et ansvar, idet de ikke har revideret eller ændret en procedure der er kørt uændret ”siden 2000”, altså godt 14 år på daværende tidspunkt. 14 år er en menneskealder indenfor computerteknologi og databehandling, og også her er jeg af den opfattelse at der ikke er udvist særlig påpasselighed i omgangen med personfølsomme data.
Sikkerhedsbekendtgørelsen har eksisteret siden 2000, altså i al den tid Robinsonlisten har eksisteret. De ledende medarbejdere hos CPR-kontoret har, kan vi vist godt lægge til grund, været bekendt med denne bekendtgørelse, og har efter min opfattelse ikke udvist rettidig omhu i implementeringen af denne bekendtgørelse, særligt §§5 og 6.
Mediet Version2 skrev den 3. juli 2014: ”Det kræver et brugernavn og et password at få lov at downloade den 184 megabyte store tekstfil. Men i branchen – og i nogle it-miljøer – er dette password en meget offentlig hemmelighed, fortæller en Version2-læser, som ønsker at være anonym. Allerede for mindst fem år siden blev det meget simple og indlysende brugernavn og password spredt via en video, fortæller han, og siden er hverken brugernavn eller password ændret. Alle virksomheder, som har adgang til listen, bruger samme brugernavn og password, og det bliver sendt ud pr. e-mail til disse virksomheder i klartekst, viser en e-mail, som Version2 har fået tilsendt”.
Wikipedia citerer avisen Børsen for at brugernavnet og adgangskoden til at downloade Robinsonlisten var ”robinson” og ”listen”.
Selvom Robinsonlisten under normale forhold ikke indeholder personnumre, viser dette efter min opfattelse, også en ”tagen let”-tilgang til IT-sikkerhed.
Af disse grunde mener jeg at det var en fejl at sagen blev lukket hos Københavns Politi, og jeg ønsker at den genoptages jf. Retsplejelovens §724 og §749, stk. 3, sammenholdt med §101, stk. 2.
Med venlig hilsen,
Christian Andersen
Ingen kommentarer:
Send en kommentar