Skandalen om Se og Hør sætter på ny fokus på, hvordan personfølsomme oplysninger håndteres.
Se og Hør har angiveligt kunnet købe sig til oplysninger om kendtes kreditkortoplysninger via en medarbejder hos Nets, der håndterer danske forbrugeres kreditkorttransaktioner.
Alt for mange virksomheder har ligesom Nets adgang til følsomme oplysninger som vores personnumre, mener Rådet for Digital Sikkerhed.
- Problemet er, at vi har vænnet os til at bruge cpr-nummeret som en indgangsnøgle til alle mulige ting – ikke bare i det offentlige, men flere og flere private virksomheder bruger det til at identificere kunder med, fordi det er en let metode til at holde styr på kunderne, siger Birgitte Kofod Olsen, formand for Rådet for Digital Sikkerhed.
For mange oplysninger i personnummeret
I den verserende sag om Se og Hør har den mistænkte hos Nets netop kunne overvåge kendte, fordi vedkommende angiveligt har haft adgang til både kreditkortoplysninger og personnumre.
Og derfor bør man indføre et nyt system for identifikation. Personnummeret giver oplysninger om alder og køn, og det er unødvendigt, mener Rådet for Digital Sikkerhed.
- Til mange af de transaktioner, vi indgår i, behøver man ikke de identitetsoplysninger, man kan nøjes med at fastslå, at jeg er den rette kunde eller bruger af en ydelse, siger hun. Og så skal virksomhederne tvinges til at begrænse deres indhentning af oplysninger om kunder.
Virksomheder skal tænke sig om
Derfor hilser Rådet for Digital Sikkerhed en ny forordning fra EU velkommen som dikterer 'privacy by design'.
- Det vil sige, at en virksomhed, allerede når den overvejer en ny it-løsning, skal tænke på privatlivsbeskyttelse. Der skal man ind og vurdere: Kan vi bruge færre oplysninger og kan vi nøjes med oplysninger, som er mindre følsomme til den opgave vi skal løse, siger Birgitte Kofod Olsen fra Rådet for Digital Sikkerhed.
Politiet efterforsker i øjeblikket, om personfølsomme oplysninger er blevet trukket ud af kreditkortsystemerne hos Nets og ulovligt delt med andre. Ingen er endnu sigtet.