Hopp til navigasjon Hopp til innhold

Tester med ekte persondata

Britiske selskaper bruker persondata ved systemtester, viser en undersøkelse. Norge er like ille, mener Datatilsynet.

password[1]
I en fersk undersøkelse blant 100 britiske IT-direktører, innrømmer nærmere halvparten å benytte seg av faktiske personopplysninger i utprøving og drift av egne systemer. Det å bruke dataene til annet bruk enn det de ble innhentet for strider imot den britiske personopplysningsloven (Data Protection Act).

Uinformerte ledere

Studiet fra dataselskapet Compuware viste at direktørene generelt var ignorant til og hadde vag kjennskap til loven, selv om den snart er ti år gammel.

Det antas at databedriftene benytter funksjonsutsetting (outsourcing) som en form for ansvarsfraskrivelse. Men faktum er at persondata på avveie ikke bare kan skade renommé og tillit, men også få domfellinger mot seg.

Undersøkelsen foreslår å bytte ut noen av variablene, som navn og adresse, med fiktive variabler. På den måten er det lettere å unngå juridisk trøbbel samtidig som man får en skikkelig test av datasystemet til bedriften.

Utbredt i Norge

En slik praksis bryter også med den norske personopplysningsloven. Informasjonssjef i Datatilsynet, Ove Skåra, forteller norske firma ikke er bedre enn britiske.

– Virksomhetene viste veldig liten bevissthet rundt konsekvensene og pliktene i Personopplysningsloven, sier Skåra til ITavisen.no.

Avslørende rapport

En virksomhetsundersøkelse
utført av Transportøkonomisk institutt (TØI) i fjor, på oppdrag av Datatilsynet og Moderniseringsdepartementet, avslører at kun halvparten hadde etablert internkontrolleringssystem, enda færre sletter opplysninger de ikke skal bruke lengre, og færre enn en av tre manglet systematisk oversikt over hvilke personopplysninger man besatt.

– Uten oversikt er det strengt tatt umulig å oppfylle Personopplysningsloven, sier informasjonssjefen.

Flere banker deler persondata med forsikringsselskaper og andre deler av et oppkjøpt eller fusjonert konsern. Flere bedrifter benytter seg av reelle personer i kurs, opplæring og prosjekter. Og som i Storbritannia testes nye datasystemer ofte med identifiserte nordmenn. Alle eksemplene er forbudte, uten ditt samtykke.

– I et utviklingsmiljø er det vesentlig at man bruker fiktive personer. Undersøkelsen avdekket et skrikende behov for mer kunnskap rett og slett, kommenterer Skåra.

Millioner til bevisstgjøring

Sanksjonsmulighetene er få. Strenge brev, pålegg og mulige bøter er metodene som kan benyttes før informasjonsuhellet er ute. Skåra tror likevel redsel for synkende troverdighet skjerper de skyldige firmaene. Datatilsynet er også tilfreds med at fornyingsministeren har bevilget to ekstra millioner kroner til bevisstgjøring om personvern.

Kilder
TheRegister.com
Personopplysningsloven
TØIs rapport