En stor it-skandale fylder de svenske medier, efter det er kommet frem, at personfølsomme oplysninger kan være lækket fra det svenske transporttilsyn, Transportstyrelsen (TS).
De seneste uger har medierne kunnet berette, at hele det svenske kørekortsregister har været har været i hænderne på udenlandske it-medarbejdere, som ikke var sikkerhedsgodkendt til opgaven. De har håndteret både navne og billeder på personer med hemmelige identiteter som for eksempel agenter eller folk under vidnebeskyttelse.
Sagen, der vurderes at kunne få politiske konsekvenser, ville også kunne opstå i Danmark, vurderer Peter Kruse, der er teknisk direktør i it-sikkerhedsfirmaet CSIS.
- Jeg tror, at vi hen over årene vil se noget tilsvarende i Danmark. Det skyldes, at vi har den samme politiske tilgang og løsningsmodel, som vi ser i Sverige, hvor vi udliciterer offentlige it-opgaver til private virksomheder.
- Hvis det udfolder sig i det omfang, som det tegner til lige nu, så kan det gå hen og blive en massiv datalækageskandale, fordi det involverer mennesker, som har beskyttelse og i princippet også kan omfatte nationens sikkerhed, siger Peter Kruse.
Ifølge Peter Kruse øger det risikoen for datalækager, når allerede hyrede virksomheder, der varetager opgaver for staten, vælger at sende opgaverne videre til underleverandører.
- Det øger risikoen for datalækage både fra medarbejdere, der tager data ud, men også for medarbejdere, der direkte begår fejl. Så risikoen, for at vi vil se tilsvarende sager i årene der kommer, er meget høj.
Datatilsynet: Man kan ikke udlicitere sit ansvar
Det er dog ikke sandsynligt, at en sag magen til den svenske, skulle kunne opstå herhjemme, lyder det fra Datatilsynet, der fører tilsyn, når offentlige myndigheder udliciterer it-opgaver.
Kontorchef i Datatilsynet Jesper Vang er enig med Peter Kruse i, at Sveriges persondatalov og regler for udlicitering formentligt minder om de danske, da de bygger på samme direktiv, men forklarer, at det er nødvendigt at indgå en såkaldt databehandleransvaraftale, når opgaver med personfølsomme oplysninger, bliver udliciteret til for eksempel private virksomheder.
Det betyder, at hvis den danske trafikstyrelse udliciterer en opgave til en it-virksomhed, som så sender opgaven videre til en underleverandør, skal Trafikstyrelsen stadig holde øje med at de gældende regler bliver overholdt hos underleverandøren.
- Man kan ikke udliciterer sig ud af ansvaret. Det er de samme høje krav, der gælder hele vejen igennem, siger Jesper Vang.
I Sverige havde den øverste chef for Transportstyrelsen givet tilladelse til, at der blev set bort fra de regler, der skulle sikre, at personfølsomme oplysninger ikke kom i hænderne på de forkerte.
- Det er svært at gardere sig mod, at de gældende regler ikke bliver overholdt, som det skete i Sverige, siger Jesper Vang, der er kontorchef i Datatilsynet.
Datatilsynet har tidligere rettet en skarp kritik af Rigspolitiet, efter de havde hyret it-virksomheden CSC, som i 2013 blev hacket. Rigspolitiet havde ikke selv styr på deres egen sikkerhed, inden de sendte opgaven videre og millioner af cpr-numre landede hos hackere.