Virksomheder beder om billede af ID tilsendt på e-mail


(at-boy) #1

Hey alle sammen

Hertil morgen fik jeg en interessant e-mail i The Camp regi.
Den drejede sig om at fordi vi i The Camp har MobilePay så nu hvor MobilePay bliver en privat virksomhed så skal de verificerer identiteten af alle i vores bestyrelse og derfor ønsker de via e-mail i ukrypteret form tilsendt billede af pas, sygesikringsbevis eller kørekort samt vores nuværende adresser
Dette er jo alt sammen noget der i de forkerte hænder kan benyttes til blandt andet identitetstyveri

Hvilket fik mig til at tænke hvordan kan dette være iorden og for den sags skyld lovligt i dagens Danmark hvor man fra statens side såvel som diverse organisationer fraråder lige præcis den slags.

Er det måske et emne vi bør tage op på en eller anden måde, @tange tænker dette må være noget du også har en interesse i


(Christoffer Hansen) #2

Det bør helt klart være noget vi kan/skal snakke om. Ole’s politiske
fredagsbarer kan fx være et forum det kan tales i.

Har selv oplevet det ved et mobil abonnement jeg skulle have oprettet.
Fordi jeg navnebeskyttet kunne de ikke trække mine oplysninger automatisk
fra CPR registret. Og bad mig fremsende billede-id til dem også
u-krypteret email til en email adresse der gik direkte i deres
sags-system til kundehenvendelser. (Mega skeptisk jeg var) Mobil selskabet
endte med et postet brev med frimærke udenpå…

Desværre en meget alm. praksis i private/offentlige virksomheder at bede
kunderne fremsende billede ligimitation over email (ukrypteret!). Kan kun
mindes det er til datatilsynet jeg har haft mulighed (og behov) for at
fremsende indhold. Hvor dette kunne lade sig gøre gennem e-boks (https
kryptering).

Meget sløset omgang og forståelse af hvad persondata er og hvordan disse
bør håndteres er desværre en mangelvare (videns-mæssigt) hos mange jeg har
mødt. (Medmindre er privacy aktivister i en afskygning)


(Ramón Soto Mathiesen) #3

Jeg kan huske da jeg blev frivillig hos. Der ønskede de også at jeg bare sendte mit CPR-nummer over en e-mail til en bestemt adresse.

Efter jeg har rejst et flag og at de har fået besøg af en af mine bekendte i forholdt til GDPR parathed, har de nu oprettet et par offentlig/privat PGP nøgler, hvor dem der vil, kan nu fremsende de fortrolige informationer krypteret til den endelige modtager.

Har aldrig forstået hvorfor det ikke er et lovkrav at virksomheder som skal behandle sensitiv data ikke har deres offentlige nøgle på deres hjemmeside, eksempelvis: www.prosa.dk/public.key. Yderliggere, når man nu bliver medlem/kunde i butikken, lige udfører den pågældende signering af nøgler, som vi kender fra crypto party, så fremover, an vil kunne være i stand til at garantere for den information man fremsender er krypteret samt den information man modtager fra virksomhed/organisationen faktisk er verificerbar.

Blot en tanke.


(Ole Tange) #4

I vores JUR afdeling løser vi krypteret email som beskrevet på: https://www.version2.dk/blog/nextcloud-fortrolig-dataudveksling-med-medlemmer-samarbejdspartnere-1081105

Mht de, som beder om at få digitale kopier sendt som ukrypteret email, så vil jeg anbefale, at du tager fat i udstederen (kommunen?) og spørger, om der er nogen risiko ved at sende disse data ukrypteret. I samme ombæring ville jeg nok også spørge, om der er noget problem ved at give en kopi af pas/sundhedskort/kørekort/kreditkort til:

  • en snusket scooter-udlejer i Nigeria
  • en pænt udseende scooter-udlejer i Nigeria
  • et snusket hotel i Thailand
  • et pænt udseende hotel i Thailand
  • et skummet udseende værelsesudlejningswebsite
  • AirBNB.com
  • et skummet udseende pengeoverførselswebsite
  • Transferwise.com

Og hvis det ikke er OK i alle tilfælde: Hvordan kan man så vide, hvornår det er OK?

Vend gerne tilbage når de har svaret.