Herning Kommune lækkede følsom data for 1700 borgere: - Det er jo aldrig rart
Da fejlen blev opdaget, blev der straks lukket for adgangen til oplysningerne. Ingen har meldt om misbrug, melder Herning Kommune.
Følsomme persondata for 1700 borgere i Herning Kommune har været frit tilgængeligt i en periode på otte måneder fra 3. august 2018 til 5. april 2019.
Det oplyser kommunen, der derfor har sendt breve ud til flere borgere for at oplyse om sikkerhedsbruddet, der er sket hos en IT-leverandør.
- Det er jo aldrig rart, når nogen har fået oplysninger, man ikke selv har givet dem. Som udgangspunktet har borgerne jo tillid til, at der bliver passet på oplysningerne. Det gør alle sit bedste for, men derfor sker der beklagelige og uheldige fejl alligevel, siger Carina Roskilde, der arbejder hos Herning Kommune, hvor hun er databeskyttelsesrådgiver. Det indebærer, at hun skal holde øje med, om kommunen lever op til databeskyttelsesloven.
Personerne, hvis oplysninger har været tilgængelige, har tidligere haft en arbejdsmæssig tilknytning til kommunen.
Der er tale om CPR-numre, stillingsbetegnelser samt tiltrædelses- og fratrædelsesdatoer, der har været tilgængelige.
Opdaget ved scanning
De følsomme persondata har været tilgængelige i forbindelse med, at Herning Kommune er skiftet fra et IT-system til et andet.
I overførslen af data til det nye system var opfattelsen, at den følsomme data var blevet slettet og ført ind i den sikre del, men det var ikke sket, og der var derfor heller ikke kode på.
- Det bliver egentlig opdaget ved, at der er en, der laver en scanning på nettet efter den type oplysninger. Oplysningerne bliver så fundet, og vedkommende, der fandt oplysningerne, vælger i stedet for at misbruge dem at gøre opmærksom på problem og kontakter Datatilsynet, fordi man ikke direkte kunne se, hvor data hørte hjemme, fortæller Carina Roskilde.
Efter Datatilsynet var blevet gjort opmærksomme på problemet, kontaktede de IT-leverandøren, som efterfølgende kontaktede Herning Kommune.
- Herning Kommune er dataansvarlig, og selvom man får hjælpe med at passe på oplysningerne, har man stadig ansvaret. Nogle gange sker ting alligevel, og det kan have forskellige konsekvenser. Der er ingen tvivl om, at Herning Kommune tager det fulde ansvar, slår Carina Roskilde fast.
Dokumenter er set
Carina Roskilde kalder det ironisk, at informationens tilgængelighed blev opdaget af en scanner i forbindelse med, at kommunen ville optimere sikkerheden. Men ikke desto mindre slår hun fast, at det er en alvorlig sag.
Kommunen kan se, at der har været nogen inde dokumenterne.
- Vi kan se, at det har været tilgået af få. Vi ved, at scanneren er en af de IPadresser, og at Datatilsynet er en anden. Vi har ikke fundet direkte beviser på, at nogen personer med ond hensigt har set det. Men uanset, hvordan man vender og drejer det, så har oplysningerne været tilgængelige, siger Carina Roskilde.
Ingen har meldt om misbrug
Straks efter, lækket blev opdaget, blev der lukket for tilgangen til oplysningerne. Efterfølgende havde Herning Kommune pligt til at oplyse de borgere, hvis data var tilgængeligt.
Carina Roskilde har snakket med mange af de borgere allerede, og der er ingen tilbagemeldinger om, at der er foregået misbrug af oplysningerne.
- Ingen af dem, jeg har talt med, har ikke haft problemer Det man skal huske er – og det her er ikke for at tale problemet ned – at oplysningerne ikke har været tilgængelige sammen med data som navn eller adresse. Det betyder, at hvis man ville tilgå dokumenterne med den hensigt at skulle bruge oplysningerne ulovligt, så skal man først have et andet datasæt at sætte dem sammen med, siger Carina Roskilde.
Hvis man for eksempel ønsker at misbruge et CPR-nummer på nettet, skal man i samme omgang bruge et nøglekort fra et nem-ID til at verificere sig.
Derfor skriver kommunen i de breve, der er sendt ud, at sandsynligheden for, at der er fare på færde, er lille.