TDC har hovedrolle i en ny sag om persondatabrud: Politikere efterlyser bedre tilsyn med teleselskaber
I fire forskellige tilfaelde har TDC fejlagtigt udleveret i alt 981 telefonnumre fra intetanende borgere til politiet. På et eller andet tidspunkt går det galt, frygter SF.
Det er ikke kun teleselskabet Telenor, der har brudt reglerne, da det ved en fejl sendte fortrolig sms-indhold til Rigspolitiet. Danmarks største teleselskab, TDC, indberettede således sidste år fire gange et brud på kunders persondatasikkerhed. Et sikkerhedsbrud, kunderne aldrig blev informeret om.
Sagen fremgår af indberetninger til den ansvarlige myndighed på teleområdet, Erhvervsstyrelsen, som Jyllands-Posten har fået aktindsigt i. Samlet set er 981 borgere berørt af de fejl, som teleselskabet indberettede til styrelsen i februar 2019.
I det ene indberettede brud på persondatasikkerhed er der tale om en manuel fejl, hvor en ansat fra TDC i forbindelse med udlevering af data til politiet har foretaget en manuel søgning efter såkaldt UTC-tid – international tidsstandard – i stedet for dansk tid. Det betyder helt konkret, at TDC udleverede en fil med oplysninger til politiet fra et forkert tidspunkt. Dermed blev der udleveret brugeridentiteter på 684 tilfaeldige borgere til politiet. Den »forkerte liste« blev efterfølgende destrueret hos politiet.
I de andre tre brud har politiet som led i efterforskning fået en kendelse på IP-adresser i et bestemt tidsinterval angivet enten på minut eller sekund. Men TDC har sendt oplysninger om brugere af IPadresser i 2-minutters-intervaller. Dermed har man sendt flere oplysninger – i form af telefonnumre – end de pålydende kendelser tilsagde. I alt blev 297 borgere berørt af disse tre persondatabrud.
TDC bekraefter i en mail, at selskabet ved en intern kontrol i foråret 2019 opdagede, at »man fejlagtigt i fire sager har udleveret for mange telefonnumre i forbindelse med politiefterforskning«.
»TDC har ikke orienteret de berørte personer, fordi politiet er underlagt tavshedspligt og slettede oplysningerne, da TDC gjorde opmaerksom på det,« skriver selskabet og oplyser, at fejlen er blevet rettet.
Ekspert efterlyser tilsyn
Teleanalytiker Torben Rune har gennemgået sagsakterne, og for ham understreger eksistensen af endnu en sag, at der bør vaere nogle meget skrappere myndighedskrav og tilsyn med de dele af telesektoren, der udleverer fortrolig data til politiet. Han sår tvivl om, hvorvidt systemet lige nu er robust nok til at håndhaeve retssikkerheden.
»Uanset om der bliver sendt for meget data i forhold til politiets kendelser, om det er et indblik i sms-korrespondancer eller forkerte masteoplysninger, så er det alle sammen hjørner af den samme problematik, der handler om retssikkerhed,« siger Torben Rune.
Han påpeger, at problemstillingen i vaerste fald raekker dybere end det faktum, at tilfaeldige danskeres mobilnumre eller navne ved en fejl havner hos politiet.
»Du kan jo ende i en situation, hvor teleselskabet afleverer et forkert telefonnummer til politiet, og så ender en uskyldig mand med en anklage om, at han har downloadet 7 gigabyte børneporno,« siger Torben Rune.
Formanden for IT-politisk Forening, Jesper Lund, kalder fejlene fra TDC manuelle fejl, mens han beskriver den seneste sag fra Telenor som en systemisk fejl, hvor Telenor i en periode uden at vide det udleverede fortroligt indhold. Han frygter, at det kan blive svaert at eliminere fejl, så laenge der er så store maengder data, der bliver eksporteret fra teleselskaber til politiet.
AErgerlig over sager
Sagen om TDC’s databrud vaekker fornyet forundring og bekymring på Christiansborg, hvor teledataskandalen og Telenor-sagen tidligere har skabt debat.
»Jeg synes, alle disse sager rykker ved brugen af teledata og viser, hvor problematisk det er, at vi anvender det på den måde, vi gør. Der er helt klart behov for mere tilsyn og kontrol,« siger SF’s retsordfører, Karina Lorentzen.
Hun påpeger, at der er et nyt uafhaengigt tilsyn på vej, som skal føre kontrol med politiets anvendelse af teledata og gennem stikprøver se, om der sker fejl, men mener, at der også kan vaere behov for »en indsats i forhold til teleselskabernes praksis.«
»På et eller andet tidspunkt går det galt, og så får vi dømt en på et fejlagtigt grundlag,« siger Karina Lorentzen.
Både SF og Dansk Folkepartis retsordfører Peter Skaarup vil nu tage kontakt til justitsministeren.
»Vi traenger til nogle klare og konsistente retningslinjer,« siger Skaarup.
Enhedslistens retsordfører, Rosa Lund, kalder bedre retningslinjer og et tilsyn med teleselskabernes udlevering af data »et godt skridt på vejen«.
»Men allermest ønsker jeg mig, at man slet ikke logger disse oplysninger til at begynde med,« siger hun.
I et skriftligt svar til Jyllands-Posten oplyser Erhvervsstyrelsen, at man »overvejer løbende, om der er behov for at ivaerksaette et generelt tilsyn med teleselskaberne«.
»Bl.a. har vi i efteråret sammen med Rigspolitiet gennemført en raekke møder med de teleselskaber, som bistår politiet ift. indgreb i meddelelseshemmeligheden. Tilsynet vedrørte de tekniske og organisatoriske foranstaltninger, som de enkelte selskaber har truffet for at styre risici for persondatasikkerheden,« skriver Erhvervsstyrelsen, som dog vurderer, at tilsynet har fungeret efter hensigten i de konkrete sager. Sagen mod TDC er lukket. Jakob Willer, direktør i teleselskabernes brancheorganisation, Teleindustrien, er »aergerlig« over sagerne om databrud, men vil overlade det til myndighederne at vurdere, om der er behov for et egentligt tilsyn. Han mener derimod, at der er behov for, at de nuvaerende og »relativt gamle« regler om logning og udlevering af teledata til politiet bliver opdateret og gjort mere klare.
»Vi har alene interesse i at levere det, en kendelse siger. Hverken mere eller mindre. Hvad der skal til for at fremme, at det kan ske, er vi helt indstillet på at drøfte. Jeg tror, at det vigtigste tiltag er en begrebsmaessig faelles forståelse af, hvad man spørger om som myndighed i kendelserne, og hvad teleselskaberne så skal levere på den anden side,« siger han.
»De systemer, teleselskaberne har, er grundlaeggende skabt for at kunne drive et telenet. De er i udgangspunktet ikke indrettet til at skulle bruges i efterforskningsmaessig sammenhaeng.«
Justitsminister Nick Haekkerup igangsatte på baggrund af sagen om Telenors udlevering af private sms-beskeder en redegørelse, som også skal belyse andre tilfaelde af »systematisk« databrud. Han vil afvente den redegørelse, inden han udtaler sig yderligere.