Straffefattig tilsyn

Straffefattig tilsyn

KOMMENTAR: Datatilsynet har endelig fått ut fingeren og anmeldt en teleoperatør for ikke å ha tatt godt nok vare på personopplysninger. Langt flere burde ha vært straffet.

I sommer ble flere teleoperatørers nettsider misbrukt til å hente ut fødselsnummer, navn, adresse og kredittinformasjon. Det bekymringsverdige er at flere av selskapene ble advart av Datatilsynet i forkant av angrepene, uten å løfte en finger. Flere skyldte i ettertid på sommerferieavvikling som grunn for at ingenting var gjort på flere måneder. Likevel tok det kun få dager å tette sikkerhetshullene. Da var over 100.000 fødselsnummer og navn på avveie.

Teleoperatørenes store feilgrep var at de utelukkende brukte fødselsnummer til identifisering av kunder, noe som førte til at koblingen mellom nummeret og navn raskt kunne gjøres. Når de behandler denne typen opplysninger, faller det inn under personopplysningsloven. I den stilles krav til informasjonssystemene, spesielt med hensyn på sikring av opplysninger. Skandalen viser at systemene var langt fra sikre.

Feilgrepene stanset likevel ikke etter det. Flere av selskapene som hadde lekket personopplysninger til ukjente, varslet verken Datatilsynet eller de berørte parter. Det er de pliktige til å gjøre i henhold til loven.

Få muligheter

Datatilsynet ville ikke la saken gå ustraffet, og satte seg ned for å utrede hvilke muligheter de hadde for å sanksjonere. Det viste seg å være få. Tilsynet måtte påvise grov uaktsomhet for å kunne gå rettens vei, og har dårlige erfaringer med stor ressursbruk knyttet til saker som ender med henleggelser. Alt måtte være på stell, noe som førte til at kun én aktør ble anmeldt til politiet. Dette var et selskap som ikke har gitt beskjed til Datatilsynet om misbruket, men som tilsynet fikk høre om etter Computerworlds avsløringer.

Selskaper som ikke har gitt beskjed til de rammede personene, noe som moralsk sett er langt mer alvorlig enn ikke å gi beskjed til Datatilsynet, går fri.

Datatilsynet er frustrerte. De har ingen umiddelbar og effektiv straff for selskaper som ikke passer godt nok på de opplysningene du og jeg tiltror nettsteder med hver eneste dag. Justisdepartementet ser på en lovendring som vil gjøre det mulig for tilsynet å ilegge bøter. Det er helt nødvendig å få på plass. Først da vil vi få et tilsyn som kan passe på oss på nettet, og slå med spanskrøret når selskaper viser uforstand.

Les om:

Sikkerhet