ERU alm. del - svar på spm. 19 om ministeren mener, at konsekvenserne for telekæder, der ikke beder om fyldestgørende ID ved udlevering af SIM kort til eksisterende telefonnumre, er tilstrækkelige, fra erhvervsministeren

ERHVERVSMINISTEREN
25. oktober 2019
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
DK - 1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervsudvalg
Besvarelse af spørgsmål 19 alm. del stillet af udvalget den 27. septem-
ber 2019 efter ønske fra Lisbeth Bech Poulsen (SF).
Spørgsmål:
Mener ministeren, at konsekvenserne for telekæder, der ikke beder om fyl-
destgørende ID ved udlevering af SIM kort til eksisterende telefonnumre,
er tilstrækkelige? Der henvises til artiklen: "Svindlerens drøm: Danske te-
lebutikker udleverer sim-kort til dit nummer – helt uden at se ID", Ingeni-
øren den 30. august 2019.
Svar:
Jeg vil indledningsvis gerne slå fast, at jeg finder det dybt beklageligt, at
det har kunnet lade sig gøre at få udleveret SIM-kort i nogle teleselskabers
butikker uden at have sikret sig, at det var den rigtige kunde, fx ved at kræve
behørig legitimation.
Derfor glæder det mig også, at Ingeniørens artikler har skabt fokus på pro-
blemet, og at teleselskaberne som direkte konsekvens af artiklerne har styr-
ket deres tekniske og organisatoriske foranstaltninger gennem forskellige
tiltag, herunder øget optræning og implementering af nye IT-systemer.
Jeg kan oplyse, at det er Erhvervsstyrelsen, der som uafhængig tilsynsmyn-
dighed påser, at teleselskaberne overholder krav i telelovgivningen, der
skal sikre kundernes og andres persondatasikkerhed i forbindelse med ud-
buddet af deres tjenester som telefoni og bredbånd. Jeg har derfor bedt Er-
hvervsstyrelsen om en udtalelse til brug for besvarelsen. Erhvervsstyrelsen
udtaler:
”Erhvervsstyrelsen kan oplyse, at teleselskaberne løbende skal træffe pas-
sende tekniske og organisatoriske foranstaltninger med henblik på at styre
risici for persondatasikkerheden i forbindelse med udbuddet af deres elek-
troniske kommunikationstjenester (fx telefoni og bredbånd).
De foranstaltninger, der skal træffes, skal sikre et sikkerhedsniveau, der
under hensyn til teknologiens aktuelle stade og omkostningerne i forbin-
delse med gennemførelsen af foranstaltningerne står i forhold til risici. For-
anstaltninger kan fx være at sikre, at selskabets medarbejdere uddannes til
Erhvervsudvalget 2018-19 (2. samling)
ERU Alm.del - endeligt svar på spørgsmål 19
Offentligt
2/3
korrekt identifikation af kunder i forbindelse med udlevering af SIM-kort
og andre personoplysninger, men kan også være indførelse af it-systemer,
der understøtter behandling af kundehenvendelser, eller tekniske opdate-
ringer af selskabets kundesystemer. En overtrædelse af reglerne om risiko-
styring kan straffe med bøde.
Teleselskaberne er ligeledes forpligtet til at indberette brud på persondata-
sikkerheden til Erhvervsstyrelsen via en indberetningsportal på virk.dk. Er-
hvervsstyrelsen har på baggrund af den presseomtale, der har været om ud-
levering af SIM-kort, gjort det klart for mobilselskaberne på et møde om
persondatasikkerhed i branchen, at det skal indberettes til Erhvervsstyrel-
sen, hvis der er sket udlevering af SIM-kort, der har ført til et brud på per-
sondatasikkerheden. Styrelsen har ikke modtaget indberetninger fra tele-
selskaberne om brud på persondatasikkerheden relateret til den pågældende
type svindel. Erhvervsstyrelsen har indskærpet over for telebranchen, at
denne type brud er omfattet af indberetningspligten og følger fortsat udvik-
lingen på området tæt.
Erhvervsstyrelsen kan supplerende oplyse, at telelovgivningen ikke inde-
holder et specifikt krav om, at der skal vises billedlegitimation, men der
er krav om, at selskaberne skal beskytte kundernes personoplysninger ved
at træffe de nødvendige foranstaltninger, så der ikke sker et brud på per-
sondatasikkerheden. Dvs. selskaberne må ikke udlevere en kundes per-
sondata til en uvedkommende.
De foranstaltninger og procedurer, som selskaberne har iværksat, kan
være udformet forskelligt hos de enkelte teleselskaber og kan være for-
skellige alt efter om kunderne retter henvendelse ved fysisk fremmøde i
en telebutik, telefonisk til kundeservice eller ved brug af selskabets selv-
betjeningsløsning. Der er således ikke i lovgivningen om brud på person-
datasikkerheden i forbindelse med udbud af elektroniske kommunikati-
onstjenester et specifikt krav om, at der skal vises billedlegitimation ved
udleveringen af fx SIM-kort.
Det vil blot være én måde at træffe nødvendige beskyttelsesmæssige for-
anstaltninger til at sikre kundens identitet. Selskaber kan også have valgt,
at kunderne skal legitimere sig på anden vis, fx med NemID eller ved
alene at fremsende SIM-kort via post til den abonnent, der angivet i kon-
trakten.
En regel om krav til legitimation ved aftaleindgåelse ville i Danmark
skulle fastsættes af klima-, energi- og forsyningsministeren, der er ansvar-
lig for telelovens regler om abonnementsindgåelse og ikke i Erhvervsmi-
nisteriets regler på teleområdet.
Erhvervsstyrelsen skal i øvrigt afsluttende bemærke, at telelovgivningens
regler om styring af risici for persondatasikkerheden er sektorspecifikke
3/3
regler, der på dette særlige område træder i stedet for generelle personda-
taregler (GDPR), som også indeholder regler om persondatasikkerhed og
indberetning af brud på persondatasikkerheden. Dette er bl.a. bekræftet af
EU-Kommissionen.”
På baggrund af Erhvervsstyrelsens udtalelse, herunder oplysninger om, at
ingen af selskaberne har indberettet et konkret brud på persondatasikkerhe-
den som følge af uberettiget udlevering af SIM-kort, og at styrelsen har
indskærpet indberetningspligten for denne type brud over for branchen og
løbende følger udviklingen, finder jeg på nuværende tidspunkt ikke, at kon-
sekvenserne for omhandlede teleselskaber er utilstrækkelige.
Med venlig hilsen
Simon Kollerup