[Paywall] Il 27enne era libero di vendere dati personali ai criminali: il comune non controlla il registro CPR | Versione2 [Københavns Kommune og CPR skyder skylden på hinanden for manglende kontrol med opslag i CPR]
https://www.version2.dk/artikel/27-aarig-kunne-frit-saelge-persondata-til-kriminelle-kommunen-foerer-ikke-kontrol-med-opslag-i-cpr
di Rubdown2837
6 commenti
Artikel bag paywall. Opsummering:
> Det var ikke Københavns Kommune selv, der opdagede, at den 27-årige tidligere studentermedarbejder ved kommunens kultur- og fritidsforvaltning misbrugte sin arbejdsadgang til CPR-registret.
>
> Københavns Kommune kontrollerer nemlig slet ikke medarbejdernes opslag i CPR-registret og siger: »Konkret for opslag i det nationale CPR-register er det ikke muligt for Københavns Kommune at opsætte automatiske kontroller for opslag, idet der i dette tilfælde er tale om et system, som kommunen ikke ejer, men kommunen sikrer, at det kun er medarbejdere med et arbejdsmæssigt behov, der har adgang.«
>
> Men ifølge CPR, er det kommunen der skal føre kontrollen: »Selve logningen står vi (CPR-kontoret, red.) for. Altså indsamling af data om hvem, hvad og hvornår ansatte tilgår oplysninger om borgerne i CPR-registret. Den løbende kontrol skal den enkelte myndighed selv stå for.«
>
> Det står i vilkårene for brug af CPR at man som myndighed selv skal føre kontrol: »Myndighedens interne bestemmelser for den løbende kontrol skal omfatte en kontrol baseret på hhv. logsøgningen og transaktionsstatistikken. Kontrollen skal kunne afdække om myndighedens medarbejdere anvender autorisationer til CPR i overensstemmelse med nærværende vilkår samt lov om behandling af personoplysninger. Kontrollen skal gennemføres med højst tre måneders mellemrum.«
>
> Københavns Kommune har fuld adgang til logdata om deres egne medarbejderes gøren og laden i CPR-registret, og intet burde være til hinder for at kommunen som minimum kan føre manuelle stikprøvekontroller på den baggrund.
>
> Københavns Kommune er blevet forelagt kritikken og muligheden for at føre stikprøvekontrol, men kommunen fastholder, at de ikke mener at kunne »opsætte automatiske kontroller for opslag.«
Det er mig en gåde hvorfor Datatilsynet ikke har påbuds- og bødebeføjelser der ligner dem Fødevare- og Arbejdstilsynet har. Sålænge Datatilsynet ikke kan give justérflade i form af strakspåbud og bøde målet i % af omsætning bliver det ikke bedre (eller mindre skod).
Det er så dumt. Alle med bare lidt fornuft ved, at jo mere vi har registreret om hinanden, jo større er sandsynligheden om at det falder i de forkerte hænder.
Under 2. Verdenskrig brugte nazisterne alle de registre de kunne få fingrene i, til at finde frem til kommunister, jøder, homoseksuelle, sigøjnere og andre de ikke brød sig om.
Efter anden verdenskrig var der en generel konsensus om, at vi skulle lade være med at registrere folk. – det har vi ligesom glemt igen.
Hvis det står i vilkårene for brug af CPR, at man som myndighed skal føre “løbende kontrol”, hvordan kan KK så slippe afsted med at sige, at de ikke kan lave “automatisk kontrol”? Okay, jamen så må I jo lave manuel kontrol!
Og hvorfor følger CPR ikke op på, om deres vilkår overholdes?
Det er Københavns Kommune der anvender servicen, højst sandsynligt via et system/program til formålet. Det system/program skal logge brugerens adgang og brug. Længere er den ikke. Det sundhedsprogram jeg sidder med har en egen auditering ift CPR-opslag hvor der laves alle mulige tjek for at se om et patientopslag er mistænkeligt. Og hvis der er tvivl om behandlerrelationen promptes brugeren om opslags-årsag med prædefinerede muligheder samt fritekst-mulighed.
Men at registrere folk for at beskytte børn imod internet er stadig en god ide.