Ekspert om datalæk fra terapi-portal: Skræmmeeksempel kan blive EU-prøvesag

Et sikkerhedshul hos terapi-portalen Gomentor, som psykologer og terapeuter bruger til online-klienter, kan blive prøvesag for EU’s nye skrappe regler om persondata.

Datatilsynets ansatte forbereder de første prøvesager om overtrædelser af EU's nye skrappe persondataforordning, som lægger op til markant større bøder for brud på sikkerheden.

GoMentor er Danmarks og Nordens største portal for online-kontakt mellem klienter og behandlere. Portalen oplyser selv, at den har 50.000 månedlige besøgende, at den har ”hjulpet 70.000”, og at den har over 700 behandlere eller ”mentorer” tilknyttet i Danmark og Norge.

Men en af brugerne har nu anmeldt portalen til Datatilsynet, fordi hun uden brug af password fik blandet sine oplysninger sammen med andre brugeres.

Konsekvensen var, at hun kunne læse de andre brugeres dybt personlige beskrivelser af problemer med parforhold, misbrug, seksualliv og selvværd.

Professor og persondataekspert Søren Sandfeld Jakobsen fra Aalborg Universitet er spændt på, hvad Datatilsynets og politiets igangværende undersøgelser af sagen fører til.

- Efter mine begreber tyder det på, at der er ganske alvorlige sikkerhedsproblemer på en tjeneste, som befatter sig med meget fortrolige oplysninger. Det tyder på, at der er nogle sikkerhedsbrister, som nærmest er bygget ind i systemet. Jeg synes, det er meget kritisk, siger juraprofessoren.

Skrappere EU-regler betyder større bøder

Siden EU-landene den 25. maj indførte en ny og langt mere striks fælles persondataforordning (GDPR), har Søren Sandfeld Jakobsen og andre eksperter på området ventet på, at de første sager skulle dukke op.

Deres nysgerrighed går blandt andet på, hvordan truslerne om markant større bøder end hidtil vil blive ført ud i livet.

- Lige præcis det med sikkerhedsreglerne og bødefastlæggelsen er noget af det væsentlige nye. Datatilsynet er ved at færdiggøre de sidste sager og forberede dem til at blive sendt over til politiet og anklagemyndigheden, så de kan blive ført som straffesager. Det tror jeg, vi er mange, der afventer. Fordi det er udmøntningen af en meget central nyskabelse i reglerne, vi ser nu, siger Søren Sandfeld Jakobsen.

Professor Søren Sandfeld Jakobsen, Aalborg Universitet.

For ham at se er der en række elementer i GoMentor-sagen, som kan gøre den til mulig prøvesag for niveauet.

- Der er tale om alvorligt brud på sikkerhedsreglerne, og vi taler om endog meget følsomme data. Så karakteren af sagen er ganske alvorlig, vurderer han.

Det kan også få betydning, hvis portalen ikke greb ind, da den første gang blev gjort opmærksom på, at der var et problem med sammenblanding af profiler, samt at portalen har valgt at give adgang uden brug af password.

- Alle tænker i brugervenlighed. Men når vi er oppe i den her skala med alvorlige persondata, så må man ikke gå på kompromis med sikkerheden. Så hellere gøre det lidt mere besværligt for brugeren, men så til gengæld være sikker på, at de her oplysninger netop ikke kommer uvedkommende til kendskab, mener professor Søren Sandfeld Jakobsen.

Datatilsynet bekræfter perspektiv

Det er Datatilsynet, som har politianmeldt GoMentor-portalen for at få efterforsket sagen. Det vil også være Datatilsynet, som tager stilling til, om sagen på baggrund af efterforskningen skal videre til anklagemyndigheden og retten.

Datatilsynet vil i givet fald komme med et udspil til bødestørrelse eller anden sanktion.

- Bøder er bare en del af vores værktøjskasse. Vi kan også give påbud, forbud og andre ting. Hvis det er en bøde, der kommer på tale, vil bødegrænsen for en forseelse som den her være to procent af virksomhedens omsætning eller 10 millioner euro, alt efter hvad der er højst, siger tilsynschef Jesper Husmer Vang fra Datatilsynet.

GoMentor beklager og strammer op

Direktør Troels Sletved fra GoMentor har i et skriftligt svar til DR bekræftet, at der har været et sikkerhedsbrud, som virksomheden ifølge ham dog først blev opmærksom på, da DR spurgte til det.

GoMentors forside på nettet.

Den programmeringsfejl, som har kompromitteret fem brugeres persondata og udgjort et sikkerhedshul, er nu blevet rettet, og virksomheden har sat gang i en grundig kortlægning.

- Samtidig vil der blive strammet op med yderligere sikkerhedstiltag og rådgivning udefra, oplyser Troels Sletved.

Facebook
Twitter