REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 158: Spm. om artiklen Kundeservicen var i top, da Politiken købte to danskeres personlige oplysninger fra Politiken den 3. januar 2016, til justitsministeren

Retsudvalget 2015-16
REU Alm.del
Offentligt

Lovafdelingen

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

2. februar 2016

Databeskyttelseskontoret

Kristian Gyde Poulsen

2016-0030-4061

1838722

Hermed sendes besvarelse af spørgsmål nr. 158 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 5. januar 2016. Spørgs-

målet er stillet efter ønske fra Peter Skaarup (DF).

Søren Pind

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 158: Spm. om artiklen Kundeservicen var i top, da Politiken købte to danskeres personlige oplysninger fra Politiken den 3. januar 2016, til justitsministeren

Spørgsmål nr. 158 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren kommentere artiklen ”Kundeservicen var i top,

da Politiken købte to danskeres personlige oplysninger” fra Po-

litiken den 3. januar 2016, hvoraf det fremgår, hvor nemt det er

at erhverve sig en danskers personlige oplysninger, som i det

beskrevne tilfælde, hvor Politiken på hjemmesiden Alpha-Bay

i løbet af få timer købte 2 danskeres personlige oplysninger

omfattende navn, fødselsdato, adresse, telefonnummer, e-

mailadresse, kodeord, ip-adresse oplysninger om pcstyresy-

stem, kreditkortnummer, kontrolkode m.v., det der ifølge artik-

len kaldes fullz på markedspladserne i undergrunden?”

Svar:

Justitsministeriet har til brug for besvarelse af spørgsmålet indhentet en

udtalelse fra Rigspolitiet, der har oplyst følgende:

”Rigspolitiet, Nationalt Cyber Crime Center (NC3), har - med

forbehold for de opgaver, der varetages af Politiets Efterret-

ningstjeneste - det overordnede politifaglige ansvar for politi-

ets opgavevaretagelse vedrørende kriminalitet, hvor digitale

spor indgår i efterforskningen, herunder salg af identiteter på

internettet. I den forbindelse yder NC3 bl.a. efter anmodning

bistand til politikredsene som led i politikredsenes efterforsk-

ning og forfølgning af denne kriminalitetsform, når efterforsk-

ningen kræver særlig avanceret teknologi, ekspertise eller ruti-

ne.

Det er Rigspolitiets erfaring, at mulighederne for at efterforske

og retsforfølge sager om ulovlig handel med personlige oplys-

ninger på internettet varierer betydeligt.

Når det konstateres, at der foregår ulovlig handel med identite-

ter på en dansk hjemmeside, er der mulighed for, at politiet kan

iværksætte bevissikring med henblik på videre efterforskning

og en strafferetlig vurdering.

Imidlertid foregår denne handel dog i en vis udstrækning via

servere placeret i udlandet, herunder i lande uden for EU. I

forhold til efterforskning, hvor sådanne servere indgår, kan det

være nødvendigt at rette henvendelse til de pågældende landes

retshåndhævende myndigheder med henblik på, at der iværk-

sættes relevante og nødvendige efterforskningsskridt i sagen.

Det er Rigspolitiets erfaring, at de retshåndhævende myndig-

heders iværksættelse af efterforskningsskridt i en del lande kan

tage lang tid. I visse tilfælde har Rigspolitiet tillige erfaring

med, at efterforskning slet ikke indledes. Hertil kommer, at det

er Rigspolitiets erfaring, at materialet i en del tilfælde kun be-

finder sig meget kortvarigt på en server, hvorefter det flyttes

videre til en anden server eventuelt i et andet land. Dette kan

vanskeliggøre iværksættelse af straffeprocessuelle tiltag med

den fornødne hurtighed.

Da kriminalitetsfænomenet således ikke altid kan bekæmpes

ved strafforfølgning, søger politiet ved en række initiativer me-

re generelt at imødegå den ulovlige handel med identiteter på

internettet samt følgekriminalitet.

Rigspolitiet indgår således i et tæt samarbejde med Finansrå-

det, de danske pengeinstitutter samt betalingsvirksomheden

Nets. I den forbindelse foretager Rigspolitiet - i det omfang

Rigspolitiet bliver bekendt med, at der er større mængder af

personoplysninger til salg på nettet - underretning af Nets og

de relevante pengeinstitutter med henblik på spærring af even-

tuelle betalings- eller kreditkort samt kontakt til de personer,

hvis identitet muligt vil blive eller allerede er blevet misbrugt.

Rigspolitiet kan endvidere oplyse, at Rigspolitiet har haft ind-

ledende drøftelser med Det Centrale Personregister vedrørende

mulighederne for at etablere en såkaldt ”blokeringsordning”,

hvormed en borger har mulighed for at ”blokere” sit CPR-

nummer. En sådan ordning vil kunne sikre en borger, der har

blokeret sit CPR-nummer, mod yderligere misbrug af dette, li-

gesom det vil kunne sikre de erhvervsdrivende mod indgåelse

af kreditaftaler med personer, der uretmæssigt benytter sig af

stjålne identiteter, med tab til følge.

Det er Rigspolitiets vurdering, at selvom disse initiativer ikke i

sig selv forhindrer handlen med identitetsoplysninger på inter-

nettet, så vil de dog kunne medvirke til at gøre handel med

identitetsoplysninger mindre attraktivt, da det bliver sværere at

anvende sådanne oplysninger efterfølgende til generering af et

udbytte.

Rigspolitiet arbejder endvidere med at få etableret et særligt

forum, hvor det private erhvervsliv og politiet kan have en lø-

bende dialog og erfaringsudveksling om forebyggelse af hack-

erangreb og andre former for it-kriminalitet. Det er ligeledes

tanken, at dette forum skal være et sted, hvor både erhvervsli-

vet og politiet hurtigt kan få kompetente svar på spørgsmål

vedrørende it-kriminalitet og generelle sikkerhedsforhold. Det

er Rigspolitiets vurdering, at der igennem dette forum, som har

særlig fokus på små og mellemstore virksomheder, vil kunne

ske en generel højnelse af it-sikkerhedsniveauet i virksomhe-

derne, hvilket vil kunne føre til, at det bliver sværere for de

kriminelle at skaffe stjålne identiteter, der kan sælges videre.

Endelig kan Rigspolitiet oplyse, at Rigspolitiet har erfaring

med blokering af internetsider med ulovligt indhold. Rigspoli-

tiet driver således i samarbejde med Red Barnet og størstede-

len af de danske internetudbydere det såkaldte netfilter, hvis

formål er på frivillig basis at blokere adgang til materiale med

seksuelt misbrug af børn på internettet. I den forbindelse stiller

Rigspolitiet løbende oplysninger til rådighed for internetudby-

derne om internetadresser, som Rigspolitiet finder indeholder

materiale, som er omfattet af straffelovens § 235. Det er heref-

ter internetudbyderne, der blokerer for siderne i henhold til in-

ternetudbydernes forretningsbetingelser. Dette samarbejde har

vist sig nyttigt og effektivt i en lang række sager, herunder sær-

ligt i sager med servere placeret i udlandet. Det er Rigspolitiets

vurdering, at en sådan blokeringsordning også vil kunne an-

vendes i forhold til handel med personlige oplysninger på in-

ternettet. Dette forudsætter dog, at udbyderne vil være indstil-

let på at udvide samarbejdet til også at omfatte denne form for

kriminalitet. Rigspolitiet vil tage initiativ til en dialog med

branchen om at udvide den frivillige blokeringsordning til at

omfatte handel med personoplysninger.

For så vidt angår statistiske oplysninger om kriminalitetsfor-

men er Rigspolitiet ikke umiddelbart i besiddelse af oplysnin-

ger om antallet af sager om tilfælde, hvor en stjålen identitet er

blevet solgt via internettet. Dette skyldes, at identitetstyveri og

-misbrug ikke er selvstændigt kriminaliseret i dansk ret, hvor-

for der ikke i Politiets Sagsstyringssystem er nogen selvstæn-

dig journalkode til sager vedrørende identitetstyveri. Sager

vedrørende identitetstyveri oprettes med forskellige journalko-

der, afhængig af hvordan identitetstyveriet og -misbruget er

udført. Der kan således være begået en strafbar handling både i

forbindelse med erhvervelsen af identiteten, eventuelt via

hacking af en virksomheds kundedatabase, ligesom der kan

tænkes begået strafbare handlinger i forbindelse med et even-

tuelt senere misbrug af den købte identitet til for eksempel ind-

gåelse af kreditaftaler eller lignende. Størstedelen af sagerne

vil således været oprettet under journalkoderne for dokument-

falsk, bedrageri eller databedrageri, men der kan også være op-

rettet sager vedrørende identitetstyveri under en række andre

journalkoder.

På denne baggrund og til brug for besvarelsen af spørgsmålet

om, hvor mange markedspladser, der i de senere år er blevet

lukket, og hvor mange handlende, der er blevet anholdt, har

Rigspolitiet anmodet politikredsene om oplysning herom. In-

gen politikredse ses umiddelbart at have kendskab til sager,

hvor ulovlige markedspladser er blevet lukket, eller at personer

skulle være blevet anholdt i forbindelse med sådanne. Nordjyl-

lands Politi har oplyst, at en person i en sag om handel med

personoplysninger og andre forhold om kreditoplysninger den

15. januar 2013 blev idømt fængsel i 1 år og 3 måneder. Der

skete ikke anholdelse eller varetægtsfængsling i sagen, idet den

pågældende begik forholdene i forbindelse med afsoning af en

anden dom.”

Justitsministeriet kan desuden oplyse, at det efter straffelovens § 263,

stk. 2, er strafbart uberettiget at skaffe sig adgang til en andens oplysnin-

ger, der er bestemt til at bruges i et informationssystem. Bestemmelsen

omfatter tilfælde, hvor en person f.eks. hacker en computer, server, tablet

eller lignende og dermed uberettiget skaffer sig adgang til oplysninger, der

normalt ikke er offentligt tilgængelige, såsom fødselsdato, e-mailadresse,

kodeord, ip-adresse mv. Hacking af systematisk eller organiseret karakter

kan straffes med op til 6 års fængsel.

Personer, der skaffer sig eller uberettiget udnytter oplysninger, som er

fremkommet ved f.eks. de ovenfor nævnte tilfælde af hacking, kan ligele-

des ifalde strafansvar, jf. straffelovens § 264 c. Det er således også straf-

bart at modtage eller udnytte oplysninger, der hidrører fra et tilfælde af

(strafbar) hacking, selvom den, der modtager eller udnytter oplysningerne,

ikke har medvirket til selve hackingen.

Straffelovens § 264 c om efterfølgende medvirken udstrækker således i

princippet strafansvaret til alle de personer, der efterfølgende skaffer sig

eller uberettiget udnytter oplysninger, der stammer fra et tilfælde af hack-

ing. Både mellemmanden og modtageren, herunder køberen, af de konkre-

te oplysninger vil efter omstændighederne kunne straffes efter den nævnte

bestemmelse i straffeloven.

Et eventuelt efterfølgende misbrug af oplysninger fra f.eks. kreditkort vil

kunne udgøre en selvstændig strafbar handling. F.eks. vil det være straf-

bart efter straffelovens § 279 a om databedrageri, hvis den person, der ube-

rettiget har skaffet sig oplysninger om et kreditkort, men som ikke selv har

foretaget den oprindelige hacking, anvender oplysningerne på kreditkortet

til at købe ting mv. over internettet.

Herudover indeholder persondatalovens kapitel 4 regler om, hvornår vi-

deregivelse og anden behandling af personoplysninger må finde sted, mens

lovens kapitel 11 indeholder regler om beskyttelse af personoplysninger.

Persondatalovens kapitel 4 er opbygget således, at § 5 indeholder en række

grundlæggende principper for behandling af personoplysninger, som altid

skal iagttages, mens §§ 6-8 indeholder generelle betingelser for, hvornår

behandling af ikke-følsomme og følsomme personoplysninger må finde

sted. Endvidere indeholder § 11 generelle betingelser for, hvornår behand-

ling af oplysninger om personnummer må finde sted.

Indsamling af personoplysninger ved kriminelle handlinger og videregi-

velse af sådanne oplysninger i form af salg til brug ved kriminelle handlin-

ger vil ikke være i overensstemmelse med behandlingsreglerne i personda-

talovens kapitel 4.

Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal

træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger

mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller for-

ringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges

eller i øvrigt behandles i strid med loven.

Indehavere af hjemmesider, hvorfra der kan købes varer mod betaling med

kreditkort, har således en pligt til at beskytte de personoplysninger, herun-

der kreditkortoplysninger, der indsamles fra kunder, mod, at de kommer til

uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med

loven. Hvordan oplysninger nærmere skal beskyttes, vil i første omgang

være op til den dataansvarlige at vurdere. Datatilsynet anbefaler dog, at

private dataansvarlige i videst muligt omfang tilrettelægger deres sikker-

hedsforanstaltninger i overensstemmelse med den såkaldte sikkerhedsbe-

kendtgørelse (bekendtgørelse nr. 528 af 15. juni 2000), der ellers kun gæl-

der for den offentlige forvaltning.

For så vidt angår spørgsmålet om beskyttelse af betalingskortoplysnin-

ger i forbindelse med internethandel, har Justitsministeriet indhentet en ud-

talelse fra Erhvervs- og Vækstministeriet, der bl.a. har oplyst følgende:

”Udbydere af betalingstjenester, fx udstedere af betalingskort,

skal ifølge lov om betalingstjenester og elektroniske penge ha-

ve betryggende kontrol- og sikkerhedsforanstaltninger på IT-

området. Finanstilsynet offentliggjorde i januar 2015, at de fra

1. august 2015 vil anvende EBA’s retningslinjer for sikre in-

ternetbetalinger i deres tilsyn med ovennævnte virksomheder.

Det indbefatter bl.a., at der skal anvendes såkaldt stærk kunde-

autentifikation ved brug af betalingskort på internettet, og at

udbyderen af kortbetalinger skal forpligte internetforretninger,

som modtager kort, kontraktuelt til at opbevare data forsvar-

ligt.

Stærk autentifikation indebærer, at en betaling skal godkendes

med to faktorer, fx oplysninger, der fremgår af kortet, og en

sms-kode, der sendes til købers mobiltelefon. Ved at anvende

stærk autentifikation sikres det, at stjålne kreditkort ikke kunne

anvendes til at foretage køb på internettet, med mindre den

kriminelle også har stjålet offerets mobiltelefon. Det nye krav

har bl.a. medført, at Nets er begyndt at udvikle en sådan løs-

ning for Dankort. Løsningen forventes at træde i kraft inden

sommerferien 2016, hvilket forventes at reducere misbruget

med Dankort betragteligt.

Derudover fastsætter det nyligt vedtagne 2. betalingstjenestedi-

rektiv (PSD II) en række nye sikkerhedskrav, som skal styrke

IT- og den operationelle sikkerhed for udbydere af betalings-

løsninger. Direktivet skal være endeligt implementeret i med-

lemslandene senest 13. januar 2018. En række af sikkerheds-

kravene er dog meget overordnede, da den europæiske banktil-

synsmyndighed, EBA, skal fastsætte retningslinjer for disse.

De første af disse retningslinjer forventes ligeledes at træde i

kraft fra januar 2018 og de sidste af disse i løbet af 2018. Sam-

let set vil det være med til at styrke sikkerheden ved betalinger

og beskyttelsen af forbrugernes data.”

Justitsministeriet kan i øvrigt oplyse, at ministeriet sammen med Er-

hvervs- og Vækstministeriet er ved at udarbejdet en kortlægning af beskyt-

telsen af oplysninger om borgernes elektroniske betalinger mv. Kortlæg-

ningen skal danne udgangspunkt for en politisk drøftelse af området.

For nærmere information herom henvises til Justitsministeriets besvarelse

af 14. januar 2016 af spørgsmål nr. 147 (Alm. del) fra Folketingets Rets-

udvalg.