It-sikkerhedsekspert: Google burde have informeret tidligere om sikkerhedsbrud på Google+

Google burde have ført bedre kontrol med medarbejdere, mener formand for Rådet for Digital Sikkerhed.

(Arkivfoto) Google oplyser, at man i løbet af ti måneder vil lukke Google+ helt ned for brugere. Det skyldes en blanding af sagen og det faktum, at tjenesten aldrig er blevet en succes. (Foto: Beck Diefenbach © Scanpix)

Eksterne medarbejdere har ved en fejl haft adgang til data fra brugere af det sociale netværk Google+, som nu står til at lukke, og på grund af manglende logning og kontrol kan Google ikke udelukke et læk af data. Det oplyser Google i en artikel i The Wall Street Journal.

Og det er problematisk, mener formand for Rådet for Digital Sikkerhed, Henning Mortensen.

- Det er ikke hensigtsmæssigt, at de eksterne parter har adgang til brugernes oplysninger på Google+, uden at der er kontrol af, hvad de gør med brugernes data. Man risikerer, at de tager dataen til sig og bruger den til andre formål, såsom at sælge dem, til skade for brugerne på tjenesten, siger han.

Ifølge europæisk lovgivning skal man kontrollere medarbejderes gøren og laden med personlige oplysninger. Derfor mener Henning Mortensen, at Googles manglende kontrol og logning kan være ulovlig.

- Der er tegn på, at der er nogle ulovlige forhold i forbindelse med den manglende kontrol af eksterne teknikere, siger han.

Flere hundrede tusinde brugeres data har været tilgængelige for de eksterne medarbejdere, fremgår det af Wall Street Journal-artiklen.

Ifølge Henning Mortensen kan de store mængder data bruges til at lave en psykologisk profil af brugerne. Man kan eksempelvis finde ud af hvor folk bor henne, og hvad de har af interesser. Det kan blandt andet bruges til at sende bestemt reklamemateriale og fastslå, hvordan brugerne kan påvirkes politisk.

Brugere skulle have haft besked

Google har lavet en intern undersøgelse og vurderet, at der ikke er sket en lækage, hvorefter de har valgt ikke at informere brugere eller datatilsyn.

Men den håndtering er kritisabel, mener Henning Mortensen. Ifølge ham havde det været god skik at orientere de nationale datasikkerhedstilsyn i Europa, da sårbarheden blev opdaget - ligesom det står skrevet, at man bør, i den gamle persondatalov paragraf 5 stk.1.

Datatilsynet har i tidligere tilfælde med følsomme personoplysninger vurderet, at den gode skik om underretning skal ske. Og det kan også blive tilfældet i sagen om Google+, mener Henning Mortensen.

- Hvis et eller flere datatilsyn beslutter sig for at tage sagen op og stille spørgsmål til Google, kan det ende med en bøde for virksomheden, siger han.

Ligesom Datatilsynet ifølge ham burde været underrettet, så mener Henning Mortensen, at Google har moralsk pligt til at informere sine brugere, selvom virksomheden selv vurderer, at der ikke er sket en læk af data.

Irsk datatilsyn skal undersøge sagen

Ifølge det danske Datatilsyn skal en uafhængig undersøgelse foretages i Irland, hvor Googles europæiske hovedkontor er placeret. Datatilsynet fortæller til DR Nyheder, at man har en klar forventning om, at Irland vil iværksætte en uafhængig analyse.

I en mail til DR Nyheder svarer Google følgende på kritikken af den manglende logning og kontrol af medarbejderne:

- Vores afdeling for privatlivs- og datasikkerhed gennemgik denne sag og så blandt andet på, hvilken slags data der var tale om, hvorvidt de berørte personer kunne identificeres, hvorvidt der var nogen tegn på misbrug, og hvorvidt der var konkrete handlinger, som udviklere eller brugere kunne foretage sig som svar. Ingen af de forhold var opfyldt.

Google henviser samtidig til en post på sin hjemmeside om sagen.

Facebook
Twitter