Skäms!

2019-02-19

2.7 miljoner känsliga personuppgifter är röjda. Helt klar den största personuppgiftsincidenten hittills!

Huvudmännen uttrycker det som ett säkerhetshål som nu är tilltäppt. I praktiken har man nu dragit sladden ur den exponerade och icke underhållna servern som tillgängliggjort 2.7 miljoner inspelade samtal till 1177. Det finns inte ord för hur undermåligt detta är!

Tyvärr vittnar detta även om att det är för ont om grävande journalister. Vad sägs om att påbörja sökningen på Shodan som så många andra “lekmän” gör? https://www.shodan.io/host/188.92.248.19 visar på sårbarheter som är kända sedan 2014. Vad sägs om att den svarar på TCP-port 443 men inte kör https? Referensen till ownCloud känns spännande. Kan det finnas information på fler platser? Detta verkar ju verkligen vara en organisation som har rätt tekniska och organisatoriska färdigheter  för att hantera känsliga personuppgifter. Eller? En titt på kringliggande IP-adresser stärker verkligen inte deras odds och torde ge andra ännu existerande kunder en tanke!

På frågan om det kan ha läckt någon information så undkommer det aktuella företaget med svaret att servern som läckt information inte har något känt namn utan man måste adressera den med IP-adressen. Journalisten köper det svaret. Lite mer kan vi väl ändå begära av public service som enligt min mening ändå har en hel del duktiga journalister ombord. Redan 2006 konstaterade Datainspektionen i ett av sina tillsynsärenden att åtkomst till känsliga personuppgifter över öppna nät som exempelvis Internet ska föregås av stark autentisering. Här var det ingen autentisering över huvud taget.  Det har med andra ord varit fritt fram för arkiverande sajter att kopiera sajten. Sannolikt har det varit möjligt under lång tid.

De vars känsliga personuppgifter sannolikt röjts förtjänar betydligt bättre!

Incidenthanteringsförmågan verkar inte heller stå i proportion till informationens skyddsvärde. Den ena aktören pekar på den andra i tappra försök att förklara ansvarskedjan men ingen verkar känna ansvar. Från politisk håll blir det uppenbart att ingen förstår hur ansvarskedjan egentligen ser ut. Det ska bli spännande att se om alla som har ansvar att rapportera in incidenten till Datainspektionen verkligen gör det. Det finns också goda skäl att tro att det saknas både ett och annat personuppgiftsbiträdesavtal, inte minst när behandlingen sker av betydligt fler parter än avtalat och att del av behandlingen sker i 3:e land. I upphandlingen uttrycks en önskan om att inspelningar ska bevaras i 10 år och därefter gallras. Med vilket stöd lagras ostrukturerade känsliga personuppgifter helt skiljt från journalen med telefonnumret som referens? Vad var resultatet av riskbedömningen som borde föregått upphandlingen?

Händelsen som sådan lär ju ha ett berättigande till bevarande för eftervärlden som ett lysande exempel på att det fortfarande är långt kvar innan personuppgiftsbehandlingen av känsliga personuppgifter allt igenom är laglig. Sedan är det ju inte bara brott mot GDPR utan det är ju också brott mot tystnadsplikten enligt offentlighets- och sekretesslagstiftningen (OSL), patientsäkerhetslagen (PsL) och patientdatalagen (PDL).

Ett av de inblandade företagen har som ledord att de erbjuder sina tjänster utan krångliga avtal. Det känns ju verkligen förtroendeingivande. Det känns heller inte förtroendeingivande när det aktuella företagets lösning studeras. Är det verkligen en lösning som har inbyggt dataskydd och dataskydd som standard? Spontant är det väl det omvända!

Datainspektionen hamnar nu i fokus. Kanske mer än någonsin. Har de den faktiska förmågan att utreda händelsen? Hur mycket spår finns kvar innan utredningen väl fått fart? Det är allas vår önskan att detta blir ett statuerande exempel där saken faktiskt grundligt utreds. Skadan är redan skedd så den går inte att reparera, men detta är inte det enda och det sista exemplet på undermålig hantering av känsliga personuppgifter. Låt detta bli ett exempel som vi kan dra lärdom av.  Vad är det som inte har fungerat?  Det är även intressant att fundera över hur arbetet med efterlevnaden skulle  kunna bedrivas för att ligga ett par steg före? De verktyg som stod till buds för att hitta den här läckan är inte förunnat några få.

Sammantaget är det väldigt många som borde skämmas. Detta är ett långtgående haveri som är så långt från syftet med dataskyddsförordningens ambitioner det går att komma. Åtminstone vad som har uppdagats hittills. Nu är det baske mig dags att ta personuppgiftsbehandlingen på allvar!