UVT, Alm.del - 2009-10 - Endeligt svar på spørgsmål 73: Spm. om hvad der skal til for at indføre skærpet procedure i forbindelse med særligt CPR-identitetstyveri, til indenrigs- og sundhedsministeren

Folketingets udvalg for Videnskab og Teknologi har den 22. februar 2010 stillet føl-gende spørgsmål nr. 73 (Alm. del) til indenrigs- og sundhedsministeren, som hermedbesvares. Spørgsmålet er stillet efter ønske fra Hanne Agersnap (SF).Spørgsmål nr. 73:”Hvad skal der til for at indføre skærpet procedure i forbindelse med særligt CPR-identitetstyveri?”Svar:Spørgeren har henvist til en artikel i Politiken fra den 18. februar 2010 ”ISS mister9.500 cpr-numre i posten”, hvoraf fremgår, at virksomheden ISS i forbindelse med enpostforsendelse, har mistet persondata, herunder personnumre på 9.500 medarbejdere.I forlængelse heraf har ISS bl.a. underrettet Finanstilsynet, Datatilsynet, deres leveran-dør og de berørte medarbejdere samt indført skærpede procedurer, så medarbejdernesbankkonti eksempelvis ikke kan kontrolleres alene med brug af personnummer.I lov om behandling af personoplysninger (persondataloven) stilles der krav om, at dendataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforan-staltninger mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller for-ringes eller kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles istrid med loven.Dette indebærer bl.a., at både offentlige myndigheder og private virksomheder ikke måbasere deres datasikkerhed på personnummeret som adgangskode til de oplysninger, derer registreret, og at oplysninger ikke må udleveres til en person, blot fordi denne kanoplyse personnummeret.I forbindelse med utilsigtet offentliggørelse af personoplysninger skal den dataansvarli-ge ifølge Datatilsynet endvidere prøve at begrænse skaden henholdsvis underrette deberørte personer. Dette er også et led i det krav om god databehandlingsskik, som følgeraf persondatalovens § 5.