V: Behov for opgradering af datasikkerhed

Venstres IT-ordfører, Michael Aastrup Jensen, foreslår en række nye initiativer, der skal styrke sikkerheden omkring vores følsomme persondata. Initiativerne kommer efter en stribe af sager herunder Se & Hør-sagen, hvor personfølsomme oplysninger er blevet lækket eller hacket.

-       Vi må konstatere, at sikkerheden omkring vores personfølsomme data er helt utilstrækkelig. Der er behov for at revidere de nuværende regler og se på, hvordan vi kan øge datasikkerheden til et niveau der modsvarer trusselsbilledet.

-       Det er aldeles uacceptabelt, at personfølsomme oplysninger uden videre kan tilgå et ugeblad gennem en længere årrække uden, at nogen opdager det eller griber ind.

Michael Aastrup Jensen opfordrer regeringen og erhvervslivet til at indgå i dialog om initiativerne for at styrke datasikkerheden.

Venstres ordfører ønsker bl.a. højere sikkerhedskrav til de medarbejdere, der har adgang til de følsomme oplysninger, bedre sikkerhedsprocedurer og adskillelse af data, der sikrer, at ikke én person sidder med adgang til samtlige data.

-       De mange sager tegner et billede af, at sikkerheden langt fra har været god nok. Der er behov for at stramme op.

Endvidere peger han på højere strafferammer, både til dem, der lækker oplysninger og hacker systemerne såvel som til de virksomheder, der ikke lever op til sikkerhedskravene.

-       Vi er som samfund nødt til at slå fast med syvtommersøm, at det er uacceptabelt at lække oplysninger og slække på sikkerheden. Gør man det, skal det have alvorlige konsekvenser.

Yderligere oplysninger

Michael Aastrup Jensen 3337 4522

 

Styrket datasikkerhed med nye initiativer

Krav om sikkerhedsgodkendelse af medarbejdere som har adgang meget følsomme data

Medarbejdere med særlig adgang til personfølsomme oplysninger skal sikkerhedsgodkendes før de får adgang og der skal løbende føres tilsyn med deres adfærd i relation til de følsomme data.

Pseudonymisering af følsomme data (Privacy by design)

Ved at skille de oplysninger, der kan identificere ejeren, ud fra øvrige oplysninger er det muligt at styrke datasikkerheden. Denne fremgangsmåde kendes også som pseudonymisering. Som begrebet antyder, kan man skjule eksempelvis navn og personnummer bag et pseudonym, hvis rette ejermand lagres i et separat system.

Rollebaseret adgang til følsomme data, så ingen kan se det hele

Denne løsning falder i forlængelse af pseudonymiseringen da det vil kræve mindst to personer med adgang til hvert sit system for at finde ud hvem, oplysningerne knytter sig til. Dermed styrkes sikkerheden.

Rotation af medarbejdere

Skal sikre, at den samme medarbejder ikke vedvarende har adgang til de samme oplysninger, som der eksempelvis efter alt at dømme har været tale om i Nets-sagen.

Automatisk advarsel ved uregelmæssigheder

Krav om automatisk kontrol med brugernes adfærd i systemer med personfølsomme data, således at de tilsynsførende orienteres, hvis en bruger udviser uregelmæssig adfærd, eksempelvis søger på de samme personoplysninger gentagne gange uden gyldig grund.

Flere ressourcer til Datatilsynet

Skal styrke tilsynet, øge de tekniske kompetencer og give mulighed for bedre kontrol med sikkerhed i virksomheder og hos myndigheder samt mulighed for at yde bedre vejledning.

Stresstest

Fremover skal IT-sikkerheden hos leverandører, der opbevarer personfølsomme data testes med jævne mellemrum med henblik på at sikre, at deres sikkerhedsprocedurer og –niveau er tilstrækkeligt til at matche trusselsniveauet for den type og mængde data virksomheden/myndigheden opbevarer.

Samtidig skal man løbende sikre sig et overblik over hvem, der har adgang til hvilke data, samt omfanget af medarbejdere med adgang sammenholdt med mængden og graden af de opbevarede datas følsomhed.

Højere strafferammer

Strafferammen for at lække personfølsomme oplysninger og for at bryde ind (hacke) i systemer med personfølsomme oplysninger bør hæves.

Bødestørrelsen for ikke at leve op til sikkerhedskravene skal hæves markant.

Krav om åbenhed/offentliggørelse

Hvis borgeres data er blevet lækket eller tilgået illegalt, skal de ansvarlige myndigheder/virksomheder have pligt til at underrette de berørte borgere. For nylig blev en lang række brugerprofiler i Ramasjang Universet hacket. DR slettede blot hackernes meddelelse på sitet, men underrettede aldrig brugerne.