ERU, Alm.del - 2018-19 (2. samling) - Endeligt svar på spørgsmål 19: Spm. om ministeren mener, at konsekvenserne for telekæder, der ikke beder om fyldestgørende ID ved udlevering af SIM kort til eksisterende telefonnumre, er tilstrækkelige, til erhvervsministeren

Erhvervsudvalget 2018-19 (2. samling)
ERU Alm.del
Offentligt

Folketingets Erhvervsudvalg

ERHVERVSMINISTEREN

25. oktober 2019

Besvarelse af spørgsmål 19 alm. del stillet af udvalget den 27. septem-

ber 2019 efter ønske fra Lisbeth Bech Poulsen (SF).

Spørgsmål:

Mener ministeren, at konsekvenserne for telekæder, der ikke beder om fyl-

destgørende ID ved udlevering af SIM kort til eksisterende telefonnumre,

er tilstrækkelige? Der henvises til artiklen: "Svindlerens drøm: Danske te-

lebutikker udleverer sim-kort til dit nummer

–

helt uden at se ID", Ingeni-

øren den 30. august 2019.

Svar:

Jeg vil indledningsvis gerne slå fast, at jeg finder det dybt beklageligt, at

det har kunnet lade sig gøre at få udleveret SIM-kort i nogle teleselskabers

butikker uden at have sikret sig, at det var den rigtige kunde, fx ved at kræve

behørig legitimation.

Derfor glæder det mig også, at Ingeniørens artikler har skabt fokus på pro-

blemet, og at teleselskaberne som direkte konsekvens af artiklerne har styr-

ket deres tekniske og organisatoriske foranstaltninger gennem forskellige

tiltag, herunder øget optræning og implementering af nye IT-systemer.

Jeg kan oplyse, at det er Erhvervsstyrelsen, der som uafhængig tilsynsmyn-

dighed påser, at teleselskaberne overholder krav i telelovgivningen, der

skal sikre kundernes og andres persondatasikkerhed i forbindelse med ud-

buddet af deres tjenester som telefoni og bredbånd. Jeg har derfor bedt Er-

hvervsstyrelsen om en udtalelse til brug for besvarelsen. Erhvervsstyrelsen

udtaler:

”Erhvervsstyrelsen kan oplyse,

at teleselskaberne løbende skal træffe pas-

sende tekniske og organisatoriske foranstaltninger med henblik på at styre

risici for persondatasikkerheden i forbindelse med udbuddet af deres elek-

troniske kommunikationstjenester (fx telefoni og bredbånd).

De foranstaltninger, der skal træffes, skal sikre et sikkerhedsniveau, der

under hensyn til teknologiens aktuelle stade og omkostningerne i forbin-

delse med gennemførelsen af foranstaltningerne står i forhold til risici. For-

anstaltninger kan fx være at sikre, at selskabets medarbejdere uddannes til

ERHVERVSMINISTERIET

Slotsholmsgade 10-12

DK - 1216 København K

Tlf.

33 92 33 50

Fax.

33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

[email protected]

www.em.dk

ERU, Alm.del - 2018-19 (2. samling) - Endeligt svar på spørgsmål 19: Spm. om ministeren mener, at konsekvenserne for telekæder, der ikke beder om fyldestgørende ID ved udlevering af SIM kort til eksisterende telefonnumre, er tilstrækkelige, til erhvervsministeren

2/3

korrekt identifikation af kunder i forbindelse med udlevering af SIM-kort

og andre personoplysninger, men kan også være indførelse af it-systemer,

der understøtter behandling af kundehenvendelser, eller tekniske opdate-

ringer af selskabets kundesystemer. En overtrædelse af reglerne om risiko-

styring kan straffe med bøde.

Teleselskaberne er ligeledes forpligtet til at indberette brud på persondata-

sikkerheden til Erhvervsstyrelsen via en indberetningsportal på virk.dk. Er-

hvervsstyrelsen har på baggrund af den presseomtale, der har været om ud-

levering af SIM-kort, gjort det klart for mobilselskaberne på et møde om

persondatasikkerhed i branchen, at det skal indberettes til Erhvervsstyrel-

sen, hvis der er sket udlevering af SIM-kort, der har ført til et brud på per-

sondatasikkerheden. Styrelsen har ikke modtaget indberetninger fra tele-

selskaberne om brud på persondatasikkerheden relateret til den pågældende

type svindel. Erhvervsstyrelsen har indskærpet over for telebranchen, at

denne type brud er omfattet af indberetningspligten og følger fortsat udvik-

lingen på området tæt.

Erhvervsstyrelsen kan supplerende oplyse, at telelovgivningen ikke inde-

holder et specifikt krav om, at der skal vises billedlegitimation, men der

er krav om, at selskaberne skal beskytte kundernes personoplysninger ved

at træffe de nødvendige foranstaltninger, så der ikke sker et brud på per-

sondatasikkerheden. Dvs. selskaberne må ikke udlevere en kundes per-

sondata til en uvedkommende.

De foranstaltninger og procedurer, som selskaberne har iværksat, kan

være udformet forskelligt hos de enkelte teleselskaber og kan være for-

skellige alt efter om kunderne retter henvendelse ved fysisk fremmøde i

en telebutik, telefonisk til kundeservice eller ved brug af selskabets selv-

betjeningsløsning. Der er således ikke i lovgivningen om brud på person-

datasikkerheden i forbindelse med udbud af elektroniske kommunikati-

onstjenester et specifikt krav om, at der skal vises billedlegitimation ved

udleveringen af fx SIM-kort.

Det vil blot være én måde at træffe nødvendige beskyttelsesmæssige for-

anstaltninger til at sikre kundens identitet. Selskaber kan også have valgt,

at kunderne skal legitimere sig på anden vis, fx med NemID eller ved

alene at fremsende SIM-kort via post til den abonnent, der angivet i kon-

trakten.

En regel om krav til legitimation ved aftaleindgåelse ville i Danmark

skulle fastsættes af

klima-, energi- og forsyningsministeren, der er ansvar-

lig for telelovens regler om abonnementsindgåelse og ikke i Erhvervsmi-

nisteriets regler på teleområdet.

Erhvervsstyrelsen skal i øvrigt afsluttende bemærke, at telelovgivningens

regler om styring af risici for persondatasikkerheden er sektorspecifikke

3/3

regler, der på dette særlige område træder i stedet for generelle personda-

taregler (GDPR), som også indeholder regler om persondatasikkerhed og

indberetning af brud på persondatasikkerheden. Dette er bl.a. bekræftet af

EU-Kommissionen.”

På baggrund af Erhvervsstyrelsens udtalelse, herunder oplysninger om, at

ingen af selskaberne har indberettet et konkret brud på persondatasikkerhe-

den som følge af uberettiget udlevering af SIM-kort, og at styrelsen har

indskærpet indberetningspligten for denne type brud over for branchen og

løbende følger udviklingen, finder jeg på nuværende tidspunkt ikke, at kon-

sekvenserne for omhandlede teleselskaber er utilstrækkelige.

Med venlig hilsen

Simon Kollerup