Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

18.000 borgere i det store datalæk kommer fra Gladsaxe Kommune. Her ses byens centrale åre, Søborg Hovedgade.
Foto: Mogens Flindt

18.000 borgere i det store datalæk kommer fra Gladsaxe Kommune. Her ses byens centrale åre, Søborg Hovedgade.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Borgere over hele landet er ramt af datalæk: Gladsaxe indrømmer mere ulovlig databehandling

De berørte borgere fra det store datalæk i Gladsaxe stammer fra i alt 82 kommuner. Samtidig indrømmer kommunen at have samlet unødvendigt mange persondata om borgerne.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Gladsaxe Kommune medgiver nu over for Politiken, at kommunen har begået flere datalovbrud i en stor lækagesag.

På avisens foranledning oplyser kommunen desuden, at de knap 20.000 berørte personer ikke blot er borgere i Gladsaxe Kommune, men i realiteten spreder sig over i alt mindst 82 kommuner i Danmark og Grønland.

Eksempelvis er der 434 berørte borgere fra Københavns Kommune, 81 fra Lyngby-Taarbæk, 74 fra Gentofte, 45 fra Odsherred, 11 fra Esbjerg og 3 personer fra Grønland.

»Denne sag handler om kontrol af afregning mellem kommuner. Derfor berører den i sagens natur også et antal borgere i andre kommuner end Gladsaxe«, skriver Morten Just, vicedirektør i Gladsaxes social- og sundhedsforvaltning, til Politiken.

Tirsdag meldte Gladsaxe Kommune ud, at 20.000 borgeres personoplysninger ved en fejl var blevet gemt i et regneark lokalt på en ukrypteret computer, der så efterfølgende blev stjålet. Det viser sig, at knap 18.000 af borgerne er fra Gladsaxe, mens de øvrige 1.700 borgere er fra andre kommuner.

I fire procent af tilfældene har kommunen ikke kunnet trække adresseoplysninger automatisk blandt andet som følge af hjemløshed, og derfor er der stadig usikkerhed omkring tallene.

»Det vil kræve en ny manuel gennemgang af denne gruppe borgere for at kunne fastlægge kommuneforhold entydigt, da postnummeret ikke i alle tilfælde kan henføres til en kommune«, siger Morten Just fra Gladsaxe Kommune.

Endnu et brud på datareglerne

Kommunen har oplyst, at regnearket med de 20.000 borgeres oplysninger var til en rutinemæssig kontrol af den økonomiske afregning mellem Gladsaxe og andre kommuner. Men Gladsaxe har samtidig i sit orienteringsbrev gjort de berørte borgere opmærksomme på, at personoplysningerne blandt andet omfatter medlemskab af folkekirken.

Denne datakilde har typisk intet at gøre med mellemkommunal refusion, så Politiken har spurgt, om det bortkomne regneark indeholdt data, som var uden relevans for sagsbehandlingen.

At minimere data er nemlig et væsentligt princip i datalovgivningen, som følger af forordningen GDPR. Ideen med reglerne er at minimere skaderne, hvis det kommer til et sikkerhedsbrud.

Efter at have tjekket op på sagen vender Gladsaxe Kommune nu tilbage med nok en indrømmelse:

»Langt hovedparten af de inddragede data er relevante for den rutinemæssige kontrol af mellemkommunal refusion. Beklageligvis har vi dog konstateret, at der i et mindre antal tilfælde også er data, f.eks. medlemskab af folkekirken, som ikke har relevans i forhold til den konkrete opgave. Disse data burde ikke have været en del af regnearket i første omgang, blandt andet ud fra princippet om dataminimering. Dette giver anledning til, at princippet om dataminimering endnu en gang indskærpes over for medarbejdere og ledere«, skriver kommunen til Politiken.

Fejl på fejl

Dermed åbenbares den ene fejl og lovovertrædelse efter den anden i Gladsaxe. At regnearket blev lagt ned lokalt på en ukrypteret computer var én overtrædelse, at kommunen har samlet irrelevante data i selvsamme system er en anden.

Dertil kommer, som Politiken fortalte tidligere torsdag, at kommunen har fremsendt et personligt brev om datalækket til en forkert borger. Endelig har det affødt kritik, at kommunen fører dialog med de ramte borgere i fuld offentlighed på Facebook, da ofrene dermed udsættes for yderligere og unødvendige risici fra it-kriminelle.

Annonce

Artiklen fortsætter efter annoncen

Annonce

Omfanget af fejl og alvorsgraden kan få betydning for, hvordan kommunen sanktioneres.

Med databeskyttelsesforordningen GDPR blev det for første gang på dansk grund muligt at straffe offentlige myndigheder med bøde for sjusk med data. De kan nu få bøder på op til 4 procent af myndighedens driftsbevilling – dog med et loft på 16 millioner kroner.

Alene med afsæt i kommunens indledende indrømmelse lød det tirsdag fra den ansvarlige myndighed, Datatilsynet, at sagen hører til i den højere ende af alvorsskalaen:

»Hele spektret af sanktioner står til vores rådighed. Men det er klart, at det store antal eksponerede borgere gør, at vi brudmæssigt ligger i den tunge ende«, sagde Allan Frank, cand.jur. og it-sikkerhedsspecialist i Datatilsynet.

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

Forsiden