Bølleregister truer privatlivsbeskyttelse

Før vi opretter et centralt register over bøller, der har fået forbud mod at gå på bestemte værtshuse, skal vi tænke på sikkerheden. Det skriver Shehzad Ahmad i denne klumme fra DR.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver jævnligt klummer om it-sikkerhed til DR.dk. Klummerne bringes her, efterhånden som de udkommer.

Hvis man har begået en forbrydelse i forbindelse med et værtshusbesøg, kan man blive idømt restaurationsforbud. Det betyder, at man ikke må komme på bestemte værtshuse eller restauranter.

Det er der såmænd ikke noget nyt i. Men hvordan sikrer man egentlig, at et værtshus ikke kommer til at lukke en person ind, der har fået restaurationsforbud? Det kræver jo, at værtshuset kan genkende personen.

I dag kan politiet give værtshuse besked om det, når en person har fået forbud – men i fremtiden kan den type oplysninger ligge i en central database.

Sådan en database rejser en række spørgsmål, både når det gælder beskyttelse af personoplysninger og it-sikkerhed.

Oplysningen om, at man er blevet idømt restaurationsforbud, er en personfølsom oplysning.

Alle skal registreres
Men hvordan vil sådan et register virke? Lad os forestille os, at du går i byen fredag aften og vil ind på et diskotek. Hvis diskoteket vil være sikre på, at de ikke lukker bøller ind, skal de tjekke dig og alle andre gæster.

Du bliver altså nødt til at oplyse, hvem du er. Den oplysning bruger de til at tjekke, om du står i bølleregisteret. Hvis ikke, kommer du indenfor.

Sådan nogle systemer findes allerede i dag. Diskotekskæden Crazy Daisy fik for nogle år siden Datatilsynets godkendelse af et system, hvor alle gæster registreres med billede og fingeraftryk.

Forskellen er, at det her sker i et system, der kun bruges af diskotekskæden selv – det kommunikerer ikke med andre systemer. Samtidig er registreringen frivillig, men hvis man ikke kan acceptere den, kan man ikke blive gæst på diskoteket.

En bølge af registre
Når der kommer et centralt bølleregister, vil det føre en række andre registre med sig. De enkelte diskoteker vil lave systemer i stil med Crazy Daisys, hvor de også kan holde styr på de kunder, der er uønskede, selvom de ikke har fået udstedt et forbud.

Så vi må forvente en bølge af registreringer af personer, der fuldt lovligt går på diskotek i weekenden.

Risikoen
Både disse lokale databaser og det centrale bølleregister rejser spørgsmålet om, hvordan man forhindrer snyd. Hvordan sikrer man, at en bølle ikke bare opgiver falsk navn?

Her kommer vi hurtigt ud i noget med registrering af foto, fingeraftryk og cpr-nummer på de dømte. Det er rent it-mæssigt den enkleste løsning.

Men hvis den slags oplysninger skal ligge i en database, stiller det meget høje krav til it-sikkerheden. Det kan være meget ubehageligt for personerne i registret, hvis de data kommer i de forkerte hænder. Hackere vil fx kunne bruge dem til afpresning.

Derfor foreslår jeg, at vi undersøger alternative løsninger.

Genkend uden at kende
En kerne i sagen er, at diskotekerne skal kunne genkende dem, de ikke vil lukke ind. Men det betyder ikke, at de behøver at kende dem.

Det ideelle vil derfor være en løsning, hvor databaserne udelukkende indeholder nogle identifikationsnumre, som ikke anvendes til andet. På den måde kan man holde styr på, om en bestemt person er bølle, dårlig betaler eller på anden måde uønsket. Men uvedkommende vil ikke kunne koble oplysningerne til en bestemt person, selvom de hacker sig ind på systemet.

Udfordringen ligger så i at udarbejde et system, der kobler personen til identifikationsnummeret. Jeg ved ikke, hvordan det skal gøres i detaljer. Det bliver det op til it-folkene at finde ud af.

Tænk privatliv fra starten
Justitsministeriet har pr. 1. maj udsendt en bekendtgørelse, der gør det muligt at oprette sådan et centralt register.

Jeg synes, vi her har muligheden for at tænke beskyttelsen af privatlivet ind i et nyt system, før vi tager det i brug. Dermed slipper vi for senere at skulle tilføje privatlivsbeskyttelsen, når de første problemer dukker op.

Lad os gribe den mulighed og få lavet et system, der giver os en mere sikker tur i byen og samtidig ikke udsætter vores private oplysninger for risikoen for at komme i de forkerte hænder.


Oprindelig offentliggjort på DR.dk den 17. maj 2011

LINKS

Keywords: