Årsberetning Rådet for IT- og Persondatasikkerhed PERSONDATASIKKERHED

Transkript

1 Årsberetning 2007 Rådet for IT- og Persondatasikkerhed RÅD FOR IT & PERSONDATASIKKERHED 1985_aarsrapport_02.indd 1 17/01/08 15:08:25

2 2 Indhold Indledning Borgerbeskyttelse Privacy kom med i digitaliseringsstrategien Identitetstyveri Lovgivning og standarder Sundhedsloven Introduktion af idéen om et centralt samtykkeregister Fælles offentlig it-infrastruktur Datatilsynet Uddannelse Indledt samarbejde med Medierådet for Børn og Unge Generel dannelse inden for it-sikkerhed Leverandørkrav Statslig varslingstjeneste bør inddrage eksterne leverandører OCES-standarden Nyhedsbrev og hjemmeside Nye medlemmer Fremtidens udfordringer Rådets sammensætning Det er afgørende for udviklingen af den digitale verden, at man gør det på en måde, så man også beskytter privatlivets fred., Agnete Sigurd, jurist udpeget af Forbrugerrådet 1985_aarsrapport_02.indd 2 17/01/08 15:08:27

3 Indledning Rådet for IT- og Persondatasikkerhed er et uafhængigt råd dannet på foranledning af DANSK IT for at fremme it-sikkerheden i Danmark. Rådet har medlemmer fra Forbrugerrådet, Foreningen af Statsautoriserede Revisorer, DI/ITEK, IT-branchen, samt en række specialister, der er opfordret til at deltage. Rådets brede sammensætning sikrer, at de it-sikkerhedmæssige problematikker bliver anskuet uafhængigt af politiske interesser og fra fl ere vinkler såvel juridiske, etiske som tekniske. Hermed kan Rådet komme med konstruktive og balancerede analyser og holdninger, der tager hensyn til de ofte forskellige udfordringer som borgere, virksomheder og myndigheder står overfor. Arbejdet i Rådet foregår på frivillig basis, og medlemmerne er valgt dels ud fra deres personlige kompetencer, og dels som repræsentanter for en bestemt organisation, kreds eller forening. Således har Rådet gode forudsætninger for at agere på tværs af ministerielle ressort områder. Bagerst i årsberetningen er en oversigt over Rådets medlemmer 2007/2008. Siden Rådet blev stiftet i 2006 har det konsolideret sig som en central aktør i den it-sikkerhedsmæssige debat. Det har løbende været i dialog med politikere, organisationer, virksomheder og offentlige myndigheder for at styrke opmærksomheden omkring it-sikkerhedsmæssige udfordringer og spørgsmål. Blandt andet udgiver Rådet en gang i kvartalet et nyhedsbrev til folketingets 179 medlemmer og partiernes politiske sekretariater. Rådet anser it-sikkerhed som et tema, der hører uløseligt sammen med den stigende digitalisering af samfundet. Konsekvensen af en utilstrækkelig it-sikkerhed er ressourcespild, tillidsbrud og utilsigtet informationsspredning, der kan omregnes til et betydeligt samfundsøkonomisk tab. Derfor er det afgørende for den videre digitale udvikling, at borgerne føler sig trygge. Dette forudsætter, at it-sikkerhed kommer højt på den politiske dagsorden, så sikkerhed kontinuerligt bliver tænkt ind i nye digitaliseringstiltag. Rådet arbejder som udgangspunkt med fi re hovedtemaer: Borgerbeskyttelse, Lovgivning & Standarder, Uddannelse og Leverandører. I 2007 har en stor del af Rådets arbejde været fokuseret mod at sikre, at borgernes personlige oplysninger (privacy) bliver beskyttet, når de kommunikerer med offentlige og private virksomheder. Og det på en måde, så borgernes privacy ikke står som modsætning til f.eks. samfundets ønske om smidigere sagsbehandling. 3 Privacy-beskyttelse er et tema, som Rådet er særlig opmærksom på at indtænke i stort set alle de områder, som Rådet arbejder med. Blandt andet har Rådet haft held til at påvirke den fællesoffentlige digitaliseringsstrategi i en retning, så beskyttelse af personlige oplysninger 1985_aarsrapport_02.indd 3 17/01/08 15:08:29

4 4 nu i højere grad er en del af strategien. I årsberetningen kan du læse nærmere om, hvilke initiativer Rådet har taget inden for de fi re indsatsområder. Borgerbeskyttelse Som en del af kvalitetsreformen har regeringen iværksat en række initiativer til at digitalisere borgernes kommunikation med det offentlige og forvaltningernes kommunikation med hinanden. Potentialet for effektiviseringer er stort, men den digitale registrering af f.eks. patientdata og andre personfølsomme data åbner samtidig op for lettere adgang til disse oplysninger om den enkelte borger. Med andre ord: Desto fl ere, der kan se persondata, desto større mulighed for, at persondata kan misbruges. Det sætter borgernes ret til sikkerhed og beskyttelse under pres. Rådet har i løbet af året fundet det nødvendigt ved fl ere lejligheder at påpege, at der er et stort behov for at tænke privacy med ind i digitaliseringen af samfundet på en måde, så det ikke går ud over mulighederne for effektiviseringer. Privacy kom med i digitaliseringsstrategien I det første udkast til regeringens digitaliseringsstrategi indgik sikkerhed, tryghed og borgerbeskyttelse (privacy) ikke som indsatsområder. Efter pres fra blandt andre Rådet for IT- og Persondatasikkerhed blev sikkerhed og tryghed i forhold til håndteringen af data i den offentlige sektor imidlertid opprioriteret i den endelige udgave af den fællesoffentlige digitaliseringsstrategi fra juni Blandt andet har regeringen nu nedsat en privacy-gruppe, der skal tænke beskyttelse af privatlivets fred ind i de forskellige digitaliseringsstrategier. Rådet ser dog stadig store udfordringer i at sikre, at borgerne kan have tillid til de systemer, som vi som samfund anvender. I takt med digitaliseringen vil der ske større og større samarbejde på tværs af forvaltningerne. Da det betyder lettere adgang til borgernes personlige oplysninger, er det vigtigt, at der rejses en debat om, hvilke myndighedspersoner, der skal have adgang til den enkeltes oplysninger, hvilke oplysninger det overhovedet er nødvendigt at tilknytte den enkelte borger for at kunne foretage sagsbehandling, og hvordan man sikrer sig mod misbrug. Det er således væsentligt, at borgerne kan have tillid til, at personlige data håndteres i overensstemmelse med hensynet til privatlivets fred, så borgerne kan føle sig trygge ved at anvende de nye digitale løsninger. Rådet ser en løbende udfordring i at tænke privacy ind i alle områder. Ikke mindst fordi borgerens tillid til systemerne bliver afgørende for digitaliseringens succes. Identitetstyveri I løbet af året har der været fl ere eksempler på, at borgerne har fået stjålet deres identifi kationsdata. Blandt andet har fl ere netbanker været udsat for hackeres manipulation, hvor kunder har mistet eller afgivet deres adgangskoder. Rådet mener, at sagerne kunne være en anledning til at rejse en generel debat om, hvor godt vores identitet i grunden er 1985_aarsrapport_02.indd 4 17/01/08 15:08:29

5 5 til it-sikkerhed herunder beskyttelsen af borgernes privatliv. Rådet arbejder derfor kontinuerligt på at få tænkt it- og persondatasikkerhed ind i lovgivningsarbejdet. Er cpr-nummeret tilstrækkeligt som identifi kation? Man bør måske overveje et system, som mere selektivt kan styre adgangen til personlige data., Vibe Vallentin Jensen, it-sikkerhedschef, Post Danmark sikret i Danmark. Hvordan identifi cerer vi os mest sikkert over for de digitale systemer? Hvor er det svageste led i identitetskæden? Og er der behov for andre systemer end de, der baserer sig på cpr-nummeret? Sundhedsloven Rådet har i forbindelse med den nye sundhedslov afgivet høringssvar, haft foretræde for henholdsvis folketingets sundhedsudvalg og sundhedsministeriet samt været i dialog med regionerne. Det er således Rådets opfattelse, at der i Danmark bør opbygges sikkerhedsmekanismer, der sikrer, at personfølsomme journaloplysninger kun er tilgængelige for de sundhedsprofessionelle, som patienten har en forudgående relation til. Dog på en måde, så journaloplysningerne er tilgængelige ved akut behandling. Rådet anbefaler derfor, at der opbygges en national sikkerhedsservice, som ud fra registreringen af relationer mellem patienter og sundhedsprofessionelle sikrer en reguleret adgang til patienters journaloplysninger på tværs af sundheds- og plejesektoren. Lovgivning og standarder Politikerne er i disse år i gang med at søsætte fl ere store digitaliseringsprojekter, der udfordrer lovgivningen. Det er Rådets erfaring, at politikerne nok ser de teknologiske muligheder, men ofte overser hensynet Hertil har Rådet i sit høringssvar påpeget, at den nye sundhedslov mangler krav om regelmæssig revision af system-, data og driftsikkerheden, som det ellers normalt kræves for andre samfundskritiske systemer (fi nansiel virksomhed, digitale signaturer m. fl.). Introduktion af idéen om et centralt samtykkeregister I forlængelse af arbejdet med sundhedsloven har Rådet introduceret 1985_aarsrapport_02.indd 5 17/01/08 15:08:29

6 6 idéen om et centralt register for samtykke. Dette kunne ske ved, at anvendelsen af den digitale signatur udvides, så borgerne får mulighed for at give deres samtykke til, hvordan deres personlige oplysninger cirkulerer mellem forskellige offentlige registre. Konkret kan det foregå ved, at borgerne på en hjemmeside via deres digitale signatur giver deres samtykke til, hvilke oplysninger, der skal have lov til at udveksles mellem registrene. Det er Rådets opfattelse, at forudsætningen for, at der kommer fart på digitaliseringen er, at borgerne kan gennemskue, hvad der sker med deres personlige data og at borgerne bevarer retten til at bestemme over egne data. Kun hermed kan borgerne føle sig trygge. Som borger skal man have mulighed for at se, hvem der har set på ens personlige data og hvornår. Rådet er dog af den opfattelse, at dette ikke i sig selv udgør et reelt I den fi nansielle sektor har man længe haft et værn mod misbrug. eksternt tilsyn i form af revisorer til at sikre, at systemer og data håndteres betryggende og efter Fælles offentlig reglerne. Inden for det offentlige og i særdeleshed it-infrastruktur på sundhedsområdet mangler et sådant tilsyn., I forbindelse med Rådets Morten Klitgaard Friis, IT Risk Management høringssvar vedrørende KPMG den fællesoffentlige digitaliseringsstrategi savner Rådet en erklæring om, at det offentlige skal arbejde hen imod en fælles offentlig it-infrastruktur, som kan skabe samklang mellem de forskellige myndigheders sikkerhedshåndtering, og dermed skabe en vis garanti for et fælles offentligt itsikkerhedsniveau. Det er dog positivt, at der sigtes mod, at alle offentlige myndigheder skal benytte DS484 som standard for it-sikkerheden samt, at man konkret peger på OCES (digitale signaturer mm.) som et væsentligt it-sikkerhedsinfrastruktur element, der bør anvendes. Datatilsynet Rådet er af den opfattelse, at Datatilsynet skal tilføres fl ere ressourcer på kontrolområdet. Der foretages generelt alt for få kontrolbesøg og besøgene er primært af juridisk karakter. Kontrolbesøgene bør udvides, så de i højere grad også omfatter it-sikkerhedsmæssige kontroller. Flere kontroller kan være med til at skabe tryghed og tillid blandt borgerne. Uddannelse Børn og unges internetvaner har ændret sig markant de senere år. I dag står vi overfor en generation, der er vant til at sidde hjemme og netværke socialt gennem fl ere forskellige internetfora som YouTube, MySpace, Arto og Facebook. Det betyder blandt andet, at personlige oplysninger i stigende grad bliver blotlagt. Rådet fi nder derfor, at der er behov for en 1985_aarsrapport_02.indd 6 17/01/08 15:08:30

7 7 øget bevidstgørelse af børn og unge omkring rettigheder, risici og pligter omkring såvel egne som andres persondata. Blandt andet bør børn og unge lære, hvad de giver virksomheder og andre lov og adgang til, når de lægger personlige oplysninger ud på f.eks. Facebook, ligesom børn og unge i højere grad bør gøres mere bevidste om, at personlige oplysninger kan være særdeles vanskelige at fjerne eller kontrollere, når først de én gang er kommet ud i cyberspace. Et andet væsentligt spørgsmål at rejse er, om forældrene juridisk kan drages til Som borger bør man have mulighed for at overskue, hvor ens data ansvar for børnenes bliver anvendt. Det er vigtigt, at der sker en vurdering af hvem, der har behov for at se hvilke data., Poul Otto Schousboe, koncernsikkerhedschef Danske Bank handlinger på internettet, herunder eventuelle overtrædelser af komplekse og især for børn og unge helt uigennemskuelige licensforhold. Indledt samarbejde med Medierådet for Børn og Unge For at styrke oplysningsarbejdet har Rådet blandt andet indledt et sam arbejde med Medierådet for Børn og Unge, og indtræder i dets Advisory Board for EU-projektet Awareness Node, som arbejder på at styrke internet- og mobilsikkerheden hos børn. Som Rådet ser det, bliver den store udfordring at få it- og persondatasikkerhed indarbejdet som et element i skolernes undervisning. Blandt andet kunne man forestille sig, at emnet blev behandlet i en tema-uge i folkeskolen, eller det kommer til at indgå som en decideret del af folkeskolens læseplaner. Som det ser ud i dag, er det mere eller mindre tilfældigt, om skolerne har et undervisningstilbud i it og herunder i it-sikkerhed. Derfor bør det overvejes, om ikke it og it-sikkerhed fra centralt hold bør dikteres som et fast element i skolernes undervisning. Generel dannelse inden for it-sikkerhed I takt med den øgede brug af de nye medier bliver det mere og mere vigtigt, at der rejses en generel diskussion af, hvad der er etisk og praktisk forsvarlig opførsel på nettet. En ting er teknisk at kunne beskytte sig mod vira og hackere, en anden ting er at lære at omgå egne og andres personlige oplysninger på en etisk forsvarlig måde. Rådet anser den største uddannelsesmæssige udfordring på it-sikkerhedsområdet for at 1985_aarsrapport_02.indd 7 17/01/08 15:08:30

8 8 være borgerens og myndighederne omgang med personlige oplysninger (privacy). Rådet ønsker således at rejse en generel diskussion blandt politikere, myndigheder, virksomheder og borgere om korrekt adfærd på nettet. Leverandørkrav Rådet vurderer løbende, hvordan soft- og hardware samt it-sikkerhedsleverandører kan inddrages i Rådets arbejde. Statslig varslingstjeneste bør inddrage eksterne leverandører I forbindelse med IT- og Telestyrelsens beslutningsoplæg om etablering af en statslig varslingstjeneste opfordrer Rådet til, at eksterne leverandører bliver inddraget. Rådet fi nder det godtgjort, at der er behov for en statslig koordination af varslinger om virus- og hackerangreb til offentlige myndigheder. En sådan varslingstjeneste bør i størst muligt omfang Unge skal ikke kun undgå at blive ofre på være koordinerende i forhold til internettet. De skal også undgå at gøre sig selv og eksterne leverandører og i helt andre til gerningsmænd. Min fornemmelse er, at særlige tilfælde være bindeled børn og unges grænser for, hvad der er lovligt og mellem myndigheder og efterretningstjenesterne. Uddannelse ulovligt er lidt uklare., Ingrid Colding-Jørgensen, Global Information Security Offi cer, Nycomed i it-sikkerhed, efterforskning af sårbarheder og udrykningshold ligger derimod ikke bedre i statslig regi end hos en kommerciel leverandør. OCES-standarden Grundlæggende støtter Rådet arbejdet omkring offentlige funktionscertifi kater. Funktionscertifi katerne vil med deres begrænsede funktionalitet være et godt supplement til den fuldt skalerede certifi katløsning. Rådet vil derfor gerne udtrykke sin støtte til, at der under OCES betegnelsen er blevet mulighed for at oprette funktionscertifi kater med det sikkerhedsniveau, som OCES betegnelsen lægger op til. Rådet vurderer, at det er centralt for et certifi kat, at det er tydeligt, hvad der konkret certifi ceres. Dette er umiddelbart klart for OCES-medarbejdere og -personcertifi kater. Dette bør også gælde for funktionscertifi kater, så det er tydeligt, hvilken funktion certifi katet er knyttet til. Et funktionscertifi kat, der garanterer, at applikationen, enheden, processen eller servicen tilhører, benyttes eller kontrolleres af den virksomhed, der fremgår af certifi katet, har en meget bred anvendelse. Denne brede betegnelse kan i en konkret anvendelse have fl ere betydninger, hvilket igen kan svække tilliden til certifi katet og i sidste ende selve OCES-betegnelsen. Rådet har derfor opfordret IT- og Telestyrelsen til at præcisere anvendelsesområder for funktionscertifi katerne, så de er begrænset til udvalgte funktioner, der har et defi neret og formateret ID. 1985_aarsrapport_02.indd 8 17/01/08 15:08:31

9 Nyhedsbrev og hjemmeside Rådet har fået sit eget nyhedsbrev, der udkommer en gang i kvartalet og primært henvender sig til folketingets medlemmer og partiernes politiske sekretariater. Nyhedsbrevet indeholder artikler om Rådets holdning til aktuelle it-sikkerhedspolitiske spørgsmål samt nyheder af mere generel karakter. hun afl øste Adser Leick, it-sikkerhedschef, Lego. Lektor ved Institut for Kommunikation, Virksomhed og Informationsteknologier, RUC, Niels Christian Juul er desuden indtrådt som medlem. Ingrid Colding-Jørgensens primære opgave er at styrke Rådets eksterne kommunikation, mens Niels Christian Juul repræsenterer forskningens verden. Fremtidens udfordringer 9 Nyhederne i nyhedsbrevet bliver løbende integreret i Rådets hjemmeside sådan, at man hér altid kan fi nde baggrundsinformation om de temaer, nyhedsbrevet tager op. Rådets hjemmeside er ligeledes stedet, hvor politikere, medier, borgere, virksomheder og institutioner kan fi nde generel information om it-sikkerhed eller blive henvist via links til andre hjemmesider om emnet. Danmark står over for en massiv digitalisering, hvor myndighederne skal håndtere store mængder personfølsomme informationer. Den britiske dataskandale, hvor Nye medlemmer Rådet har i løbet af 2007 fået to nye medlemmer. Ingrid Colding-Jørgensen, Global Information Security Offi cer, Nycomed, er indtrådt i Rådet som næstformand, hvor Jeg savner, at man fra regeringens side træder i karakter og sikrer, at det ikke er en frivillig sag, om den enkelte skole har et undervisningstilbud i it. Det er for tilfældigt, som det ser ud i dag., Per Buchwaldt, senior manager, Deloitte 1985_aarsrapport_02.indd 9 17/01/08 15:08:31

10 Jeg tror, at den måde de unge er vant til at bruge nettet på ikke altid er den mest sikkerhedsmæssige forsvarlige. Og derfor står arbejdsgiverne 10 over for nogle udfordringer, når de unge kommer ind på arbejdsmarkedet., Henning Mortensen, det britiske skattevæsen mistede it-sikkerhedspolitisk konsulent, DI/ITEK to cd er med person- og bankoplysninger på 25 millioner briter viser med tydelighed, hvor galt det kan gå, hvis ikke it-sikkerhed får høj prioritet. Truslerne kommer med andre ord i dag ikke kun udefra fra vira og orme. De kommer i lige så høj grad fra vores egen lemfældige omgang med såvel vores egne som andres data. Som Rådet ser det, bliver den helt store udfordring de næste år derfor at diskutere, hvordan borgere og myndigheder bedst beskytter personlige oplysninger, uden at det går ud over digitaliseringen. Sikkerhed og persondatabeskyttelse bør som en selvfølge tænkes ind i alle aspekter af vort digitale liv, ligesom emnet skal rykkes højere op på dagsordenen hos politikere, virksomheder og myndigheder. Rådets sammensætning Kim Aarenstrup, formand Koncern it-sikkerhedschef, A.P. Møller - Mærsk Gruppen Ingrid Colding-Jørgensen, næstformand Global Information Security Offi cer, Nycomed Brian Birkvald, Manager of IBM s Security Group, IBM Danmark, udpeget af IT-Branchen Per Buchwaldt, Senior Manager, Deloitte Business Consulting Rådet vil i 2008 forsætte sit arbejde med at deltage i aktiviteter, der styrker den it-sikkerhedsmæssige bevidsthed hos borgere, politikere og virksomheder. Målet er at bidrage til, at digitaliseringen bliver succesfuld ved at sikre, at der tidligt i digitaliseringsprocesserne bliver taget hensyn til it-sikkerhed, privacy, effektivisering og tryghed. It-sikkerhed er således en stærk og central løsningsfaktor, hvis Danmark skal blive et digitalt foregangsland, hvor både borgere, virksomheder og myndigheder høster det fulde udbytte af teknologien på en tryg og sikker måde. Morten Klitgaard Friis, Cand. scient., IT Risk Management, KPMG medlem som repræsentant for It-sikkerhedsfagrådet, DANSK IT 1985_aarsrapport_02.indd 10 17/01/08 15:08:32

11 11 Martin von Haller Grønbæk, Advokat og partner, Bender von Haller Dragsted Henning Mortensen, It-sikkerhedspolitisk konsulent, udpeget af DI/ITEK Agnete Sigurd, Jurist, udpeget af Forbrugerrådet Faruque Sayed, Director IT Risk Management, KPMG Vibe Vallentin Jensen, It-sikkerhedschef, Post Danmark, medlem som repræsentant for It-sikkerhedschefkredsen, DANSK IT Poul Otto Schousboe, Koncernsikkerhedschef, Danske Bank Jørn Knudsen, It-sikkerhedskoordinator, Region Hovedstaden, medlem som repræsentant for It-sikkerhedschefkredsen, DANSK IT Jørgen Torp, Statsaut. revisor, PriceWaterhouseCoopers, udpeget af Foreningen af Statsautoriserede Revisorer Ole Kjeldsen, Chef for Enterprise Teknologi, Microsoft Niels Christian Juul Lektor, Institut for Kommunikation, Virksomhed og Informationsteknologier, RUC 1985_aarsrapport_02.indd 11 17/01/08 15:08:33

12 Rådet for IT- og Persondatasikkerhed er et uafhængigt råd dannet på foranledning af DANSK IT 1985_aarsrapport_02.indd 12 17/01/08 15:08:36