Retsudvalget 2015-16
REU Alm.del
Offentligt
1594725_0001.png
Lovafdelingen
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
2. februar 2016
Databeskyttelseskontoret
Kristian Gyde Poulsen
2016-0030-4061
1838722
Hermed sendes besvarelse af spørgsmål nr. 158 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 5. januar 2016. Spørgs-
målet er stillet efter ønske fra Peter Skaarup (DF).
Søren Pind
/
Jakob Lundsager
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 159: Spm. om, hvilke indsats der gøres for at stoppe den ulovlige handel med danskeres personlige oplysninger på de markedspladser på internettet, til justitsministeren
Spørgsmål nr. 158 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren kommentere artiklen ”Kundeservicen var i top,
da Politiken købte to danskeres personlige oplysninger” fra Po-
litiken den 3. januar 2016, hvoraf det fremgår, hvor nemt det er
at erhverve sig en danskers personlige oplysninger, som i det
beskrevne tilfælde, hvor Politiken på hjemmesiden Alpha-Bay
i løbet af få timer købte 2 danskeres personlige oplysninger
omfattende navn, fødselsdato, adresse, telefonnummer, e-
mailadresse, kodeord, ip-adresse oplysninger om pcstyre-
system, kreditkortnummer, kontrolkode m.v., det der ifølge ar-
tiklen kaldes fullz på markedspladserne i undergrunden?”
Svar:
1.
Justitsministeriet har til brug for besvarelse af spørgsmålet indhentet en
udtalelse fra Rigspolitiet, der har oplyst følgende:
”Rigspolitiet, Nationalt Cyber Crime Center (NC3), har - med
forbehold for de opgaver, der varetages af Politiets Efterret-
ningstjeneste - det overordnede politifaglige ansvar for politi-
ets opgavevaretagelse vedrørende kriminalitet, hvor digitale
spor indgår i efterforskningen, herunder salg af identiteter på
internettet. I den forbindelse yder NC3 bl.a. efter anmodning
bistand til politikredsene som led i politikredsenes efterforsk-
ning og forfølgning af denne kriminalitetsform, når efterforsk-
ningen kræver særlig avanceret teknologi, ekspertise eller ruti-
ne.
Det er Rigspolitiets erfaring, at mulighederne for at efterforske
og retsforfølge sager om ulovlig handel med personlige oplys-
ninger på internettet varierer betydeligt.
Når det konstateres, at der foregår ulovlig handel med identite-
ter på en dansk hjemmeside, er der mulighed for, at politiet kan
iværksætte bevissikring med henblik på videre efterforskning
og en strafferetlig vurdering.
Imidlertid foregår denne handel dog i en vis udstrækning via
servere placeret i udlandet, herunder i lande uden for EU. I
forhold til efterforskning, hvor sådanne servere indgår, kan det
være nødvendigt at rette henvendelse til de pågældende landes
retshåndhævende myndigheder med henblik på, at der iværk-
sættes relevante og nødvendige efterforskningsskridt i sagen.
Det er Rigspolitiets erfaring, at de retshåndhævende myndig-
heders iværksættelse af efterforskningsskridt i en del lande kan
tage lang tid. I visse tilfælde har Rigspolitiet tillige erfaring
med, at efterforskning slet ikke indledes. Hertil kommer, at det
er Rigspolitiets erfaring, at materialet i en del tilfælde kun be-
2
REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 159: Spm. om, hvilke indsats der gøres for at stoppe den ulovlige handel med danskeres personlige oplysninger på de markedspladser på internettet, til justitsministeren
finder sig meget kortvarigt på en server, hvorefter det flyttes
videre til en anden server eventuelt i et andet land. Dette kan
vanskeliggøre iværksættelse af straffeprocessuelle tiltag med
den fornødne hurtighed.
Da kriminalitetsfænomenet således ikke altid kan bekæmpes
ved strafforfølgning, søger politiet ved en række initiativer me-
re generelt at imødegå den ulovlige handel med identiteter på
internettet samt følgekriminalitet.
Rigspolitiet indgår således i et tæt samarbejde med Finansrå-
det, de danske pengeinstitutter samt betalingsvirksomheden
Nets. I den forbindelse foretager Rigspolitiet - i det omfang
Rigspolitiet bliver bekendt med, at der er større mængder af
personoplysninger til salg på nettet - underretning af Nets og
de relevante pengeinstitutter med henblik på spærring af even-
tuelle betalings- eller kreditkort samt kontakt til de personer,
hvis identitet muligt vil blive eller allerede er blevet misbrugt.
Rigspolitiet kan endvidere oplyse, at Rigspolitiet har haft ind-
ledende drøftelser med Det Centrale Personregister vedrørende
mulighederne for at etablere en såkaldt ”blokeringsordning”,
hvormed en borger har mulighed for at ”blokere” sit CPR-
nummer. En sådan ordning vil kunne sikre en borger, der har
blokeret sit CPR-nummer, mod yderligere misbrug af dette, li-
gesom det vil kunne sikre de erhvervsdrivende mod indgåelse
af kreditaftaler med personer, der uretmæssigt benytter sig af
stjålne identiteter, med tab til følge.
Det er Rigspolitiets vurdering, at selvom disse initiativer ikke i
sig selv forhindrer handlen med identitetsoplysninger på inter-
nettet, så vil de dog kunne medvirke til at gøre handel med
identitetsoplysninger mindre attraktivt, da det bliver sværere at
anvende sådanne oplysninger efterfølgende til generering af et
udbytte.
Rigspolitiet arbejder endvidere med at få etableret et særligt
forum, hvor det private erhvervsliv og politiet kan have en lø-
bende dialog og erfaringsudveksling om forebyggelse af hack-
erangreb og andre former for it-kriminalitet. Det er ligeledes
tanken, at dette forum skal være et sted, hvor både erhvervsli-
vet og politiet hurtigt kan få kompetente svar på spørgsmål
vedrørende it-kriminalitet og generelle sikkerhedsforhold. Det
er Rigspolitiets vurdering, at der igennem dette forum, som har
særlig fokus på små og mellemstore virksomheder, vil kunne
ske en generel højnelse af it-sikkerhedsniveauet i virksomhe-
derne, hvilket vil kunne føre til, at det bliver sværere for de
kriminelle at skaffe stjålne identiteter, der kan sælges videre.
Endelig kan Rigspolitiet oplyse, at Rigspolitiet har erfaring
med blokering af internetsider med ulovligt indhold. Rigspoli-
3
REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 159: Spm. om, hvilke indsats der gøres for at stoppe den ulovlige handel med danskeres personlige oplysninger på de markedspladser på internettet, til justitsministeren
tiet driver således i samarbejde med Red Barnet og størstede-
len af de danske internetudbydere det såkaldte netfilter, hvis
formål er på frivillig basis at blokere adgang til materiale med
seksuelt misbrug af børn på internettet. I den forbindelse stiller
Rigspolitiet løbende oplysninger til rådighed for internetudby-
derne om internetadresser, som Rigspolitiet finder indeholder
materiale, som er omfattet af straffelovens § 235. Det er heref-
ter internetudbyderne, der blokerer for siderne i henhold til in-
ternetudbydernes forretningsbetingelser. Dette samarbejde har
vist sig nyttigt og effektivt i en lang række sager, herunder sær-
ligt i sager med servere placeret i udlandet. Det er Rigspolitiets
vurdering, at en sådan blokeringsordning også vil kunne an-
vendes i forhold til handel med personlige oplysninger på in-
ternettet. Dette forudsætter dog, at udbyderne vil være indstil-
let på at udvide samarbejdet til også at omfatte denne form for
kriminalitet. Rigspolitiet vil tage initiativ til en dialog med
branchen om at udvide den frivillige blokeringsordning til at
omfatte handel med personoplysninger.
For så vidt angår statistiske oplysninger om kriminalitetsfor-
men er Rigspolitiet ikke umiddelbart i besiddelse af oplysnin-
ger om antallet af sager om tilfælde, hvor en stjålen identitet er
blevet solgt via internettet. Dette skyldes, at identitetstyveri og
-misbrug ikke er selvstændigt kriminaliseret i dansk ret, hvor-
for der ikke i Politiets Sagsstyringssystem er nogen selvstæn-
dig journalkode til sager vedrørende identitetstyveri. Sager
vedrørende identitetstyveri oprettes med forskellige journalko-
der, afhængig af hvordan identitetstyveriet og -misbruget er
udført. Der kan således være begået en strafbar handling både i
forbindelse med erhvervelsen af identiteten, eventuelt via
hacking af en virksomheds kundedatabase, ligesom der kan
tænkes begået strafbare handlinger i forbindelse med et even-
tuelt senere misbrug af den købte identitet til for eksempel ind-
gåelse af kreditaftaler eller lignende. Størstedelen af sagerne
vil således været oprettet under journalkoderne for dokument-
falsk, bedrageri eller databedrageri, men der kan også være op-
rettet sager vedrørende identitetstyveri under en række andre
journalkoder.
På denne baggrund og til brug for besvarelsen af spørgsmålet
om, hvor mange markedspladser, der i de senere år er blevet
lukket, og hvor mange handlende, der er blevet anholdt, har
Rigspolitiet anmodet politikredsene om oplysning herom. In-
gen politikredse ses umiddelbart at have kendskab til sager,
hvor ulovlige markedspladser er blevet lukket, eller at personer
skulle være blevet anholdt i forbindelse med sådanne. Nordjyl-
lands Politi har oplyst, at en person i en sag om handel med
personoplysninger og andre forhold om kreditoplysninger den
15. januar 2013 blev idømt fængsel i 1 år og 3 måneder. Der
skete ikke anholdelse eller varetægtsfængsling i sagen, idet den
4
REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 159: Spm. om, hvilke indsats der gøres for at stoppe den ulovlige handel med danskeres personlige oplysninger på de markedspladser på internettet, til justitsministeren
pågældende begik forholdene i forbindelse med afsoning af en
anden dom.”
2.
Justitsministeriet kan desuden oplyse, at det efter straffelovens § 263,
stk. 2, er strafbart uberettiget at skaffe sig adgang til en andens oplysnin-
ger, der er bestemt til at bruges i et informationssystem. Bestemmelsen
omfatter tilfælde, hvor en person f.eks. hacker en computer, server, tablet
eller lignende og dermed uberettiget skaffer sig adgang til oplysninger, der
normalt ikke er offentligt tilgængelige, såsom fødselsdato, e-mailadresse,
kodeord, ip-adresse mv. Hacking af systematisk eller organiseret karakter
kan straffes med op til 6 års fængsel.
Personer, der skaffer sig eller uberettiget udnytter oplysninger, som er
fremkommet ved f.eks. de ovenfor nævnte tilfælde af hacking, kan ligele-
des ifalde strafansvar, jf. straffelovens § 264 c. Det er således også straf-
bart at modtage eller udnytte oplysninger, der hidrører fra et tilfælde af
(strafbar) hacking, selvom den, der modtager eller udnytter oplysningerne,
ikke har medvirket til selve hackingen.
Straffelovens § 264 c om efterfølgende medvirken udstrækker således i
princippet strafansvaret til alle de personer, der efterfølgende skaffer sig
eller uberettiget udnytter oplysninger, der stammer fra et tilfælde af hack-
ing. Både mellemmanden og modtageren, herunder køberen, af de konkre-
te oplysninger vil efter omstændighederne kunne straffes efter den nævnte
bestemmelse i straffeloven.
Et eventuelt efterfølgende misbrug af oplysninger fra f.eks. kreditkort vil
kunne udgøre en selvstændig strafbar handling. F.eks. vil det være straf-
bart efter straffelovens § 279 a om databedrageri, hvis den person, der ube-
rettiget har skaffet sig oplysninger om et kreditkort, men som ikke selv har
foretaget den oprindelige hacking, anvender oplysningerne på kreditkortet
til at købe ting mv. over internettet.
3.
Herudover indeholder persondatalovens kapitel 4 regler om, hvornår vi-
deregivelse og anden behandling af personoplysninger må finde sted, mens
lovens kapitel 11 indeholder regler om beskyttelse af personoplysninger.
Persondatalovens kapitel 4 er opbygget således, at § 5 indeholder en række
grundlæggende principper for behandling af personoplysninger, som altid
skal iagttages, mens §§ 6-8 indeholder generelle betingelser for, hvornår
behandling af ikke-følsomme og følsomme personoplysninger må finde
sted. Endvidere indeholder § 11 generelle betingelser for, hvornår behand-
5
REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 159: Spm. om, hvilke indsats der gøres for at stoppe den ulovlige handel med danskeres personlige oplysninger på de markedspladser på internettet, til justitsministeren
ling af oplysninger om personnummer må finde sted.
Indsamling af personoplysninger ved kriminelle handlinger og videregi-
velse af sådanne oplysninger i form af salg til brug ved kriminelle handlin-
ger vil ikke være i overensstemmelse med behandlingsreglerne i personda-
talovens kapitel 4.
Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal
træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger
mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller for-
ringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven.
Indehavere af hjemmesider, hvorfra der kan købes varer mod betaling med
kreditkort, har således en pligt til at beskytte de personoplysninger, herun-
der kreditkortoplysninger, der indsamles fra kunder, mod, at de kommer til
uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med
loven. Hvordan oplysninger nærmere skal beskyttes, vil i første omgang
være op til den dataansvarlige at vurdere. Datatilsynet anbefaler dog, at
private dataansvarlige i videst muligt omfang tilrettelægger deres sikker-
hedsforanstaltninger i overensstemmelse med den såkaldte sikkerhedsbe-
kendtgørelse (bekendtgørelse nr. 528 af 15. juni 2000), der ellers kun gæl-
der for den offentlige forvaltning.
4.
For så vidt angår spørgsmålet om beskyttelse af betalingskortoplysnin-
ger i forbindelse med internethandel, har Justitsministeriet indhentet en ud-
talelse fra Erhvervs- og Vækstministeriet, der bl.a. har oplyst følgende:
”Udbydere af betalingstjenester, fx udstedere af betalingskort,
skal ifølge lov om betalingstjenester og elektroniske penge ha-
ve betryggende kontrol- og sikkerhedsforanstaltninger på IT-
området. Finanstilsynet offentliggjorde i januar 2015, at de fra
1. august 2015 vil anvende EBA’s retningslinjer for sikre in-
ternetbetalinger i deres tilsyn med ovennævnte virksomheder.
Det indbefatter bl.a., at der skal anvendes såkaldt stærk kunde-
autentifikation ved brug af betalingskort på internettet, og at
udbyderen af kortbetalinger skal forpligte internetforretninger,
som modtager kort, kontraktuelt til at opbevare data forsvar-
ligt.
Stærk autentifikation indebærer, at en betaling skal godkendes
med to faktorer, fx oplysninger, der fremgår af kortet, og en
sms-kode, der sendes til købers mobiltelefon. Ved at anvende
stærk autentifikation sikres det, at stjålne kreditkort ikke kunne
6
REU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 159: Spm. om, hvilke indsats der gøres for at stoppe den ulovlige handel med danskeres personlige oplysninger på de markedspladser på internettet, til justitsministeren
anvendes til at foretage køb på internettet, med mindre den
kriminelle også har stjålet offerets mobiltelefon. Det nye krav
har bl.a. medført, at Nets er begyndt at udvikle en sådan løs-
ning for Dankort. Løsningen forventes at træde i kraft inden
sommerferien 2016, hvilket forventes at reducere misbruget
med Dankort betragteligt.
Derudover fastsætter det nyligt vedtagne 2. betalingstjenestedi-
rektiv (PSD II) en række nye sikkerhedskrav, som skal styrke
IT- og den operationelle sikkerhed for udbydere af betalings-
løsninger. Direktivet skal være endeligt implementeret i med-
lemslandene senest 13. januar 2018. En række af sikkerheds-
kravene er dog meget overordnede, da den europæiske banktil-
synsmyndighed, EBA, skal fastsætte retningslinjer for disse.
De første af disse retningslinjer forventes ligeledes at træde i
kraft fra januar 2018 og de sidste af disse i løbet af 2018. Sam-
let set vil det være med til at styrke sikkerheden ved betalinger
og beskyttelsen af forbrugernes data.”
5.
Justitsministeriet kan i øvrigt oplyse, at ministeriet sammen med Er-
hvervs- og Vækstministeriet er ved at udarbejdet en kortlægning af beskyt-
telsen af oplysninger om borgernes elektroniske betalinger mv. Kortlæg-
ningen skal danne udgangspunkt for en politisk drøftelse af området.
For nærmere information herom henvises til Justitsministeriets besvarelse
af 14. januar 2016 af spørgsmål nr. 147 (Alm. del) fra Folketingets Rets-
udvalg.
7