Gladsaxe er en af de kommuner, der har oplevet alvorlige datasikkerhedsbrister i 2018. 20.600 borgere fik lækket deres persondata i december som følge af ringe sikkerhed. En parallel hændelse skete fire måneder forinden, forårsaget af de samme fejl.
Foto: Torben Klint/Ritzau Scanpix

Gladsaxe er en af de kommuner, der har oplevet alvorlige datasikkerhedsbrister i 2018. 20.600 borgere fik lækket deres persondata i december som følge af ringe sikkerhed. En parallel hændelse skete fire måneder forinden, forårsaget af de samme fejl.

Danmark

Tre gange om dagen oplever kommuner brist i datasikkerhed

Hver sag er en for meget, siger KL, der dog mener, at kommunerne gør alt for at styrke datasikkerheden.

Danmark

Når borgeres personlige oplysninger bliver kompromitteret i Danmark, er det i et af fire tilfælde en kommune, som er ansvarlig.

Datatilsynet har fremlagt en statistik over alle anmeldte brud på datasikkerheden i 2018, siden det 25. maj blev lovpligtigt for alle at indrapportere. Og af de i alt 2.780 indrapporterede datasikkerhedsbrud tegner landets kommuner sig for 705, svarende til 25 procent.

Det svarer til, at der i perioden hver eneste dag er sket godt tre kommunale datalæk.

Hver eneste fejl er selvfølgelig en for meget, fastslår Kommunernes Landsforening (KL).

»Jeg vil gerne slå fast, at kommunerne tager datasikkerheden dybt alvorligt, og i princippet skal der ikke være nogen databrud. Men kommunerne er formentlig også den aktør i samfundet, der behandler flest personoplysninger; næsten 500.000 kommunalt ansatte håndterer dagligt persondata. Jeg vil ikke sige, at tre tilfælde om dagen ikke er mange, men alt er relativt«, siger Pia Færch, kontorchef i KL’s afdeling for digitalisering og borgerbetjening.

Bag hver fjerde alvorlige sag

I de fleste tilfælde er der tale om mindre alvorlige sager, såsom at en kommune kommer til at sende personoplysninger til den forkerte borger. Datatilsynet oplyser dog til Politiken, at kommunerne også tegner sig for knap en fjerdedel af de i alt 1.300 sager, som er gentagelsestilfælde eller på anden vis alvorlige. Myndigheden sagsbehandler aktuelt de 1.300 sager med fokus på at fastsætte en sanktion for regelovertrædelser, hvilket kan være bødeforlæg eller politianmeldelse.

Politiken har på det seneste beskrevet rækken af fejl og ulovligheder i Gladsaxe Kommunes håndtering af persondata. I december 2018 lækkede kommunen 20.600 borgeres persondata som konsekvens af manglende sikkerhedsforanstaltninger og en bortkommen computer. Datatilsynet omtalte den sag som »i den absolut højere ende af alvorsskalaen«.

Siden kunne Politiken fortælle, hvordan det præcis samme skete fire måneder forinden i Gladsaxe, hvilket kan være en skærpende omstændighed i en eventuel strafudmåling.

Sagerne udgør to af Gladsaxe Kommunes i alt otte anmeldelser til Datatilsynet i 2018, viser en aktindsigt til Politiken. En tredje anmeldelse fra august handler om, hvordan en medarbejder fremsendte et forkert personnummer til Udbetaling Danmark. Som konsekvens fik en borger uretmæssigt tilkendt og udbetalt førtidspension på bekostning af en anden borger.

»Jobcentret har nu indført en ekstra foranstaltning, hvor en administrativ medarbejder tjekker, om der er overensstemmelse mellem navn og cpr-nummer, inden skemaet afsendes«, lyder det i en opfølgende redegørelse fra Gladsaxe Kommune, der omtaler hændelsen som en menneskelig fejl i en manuel arbejdsproces.

Som Politiken fortalte torsdag har byrådet nu iværksat to undersøgelser af kommunens håndtering af fejl og læk samt den generelle it-sikkerhed i forvaltningen.

I Datatilsynet siger it-sikkerhedsspecialist, cand.jur. Allan Frank, at de mange kommuner i statistikken er udtryk for, at forvaltningerne generelt har rigtig mange kontakter til registrerede borgere. En af de hyppigste kilder til sikkerhedsbruddene er generelt fejl i mails eller digitale meddelelser til borgerne. Allan Frank forklarer, at der ofte kan tages simple tekniske og organisatoriske skridt i forvaltningerne til at minimere eller helt udrydde disse fejl.

»Sikkerhedsniveauet er generelt væsentligt højere end i tiden før GDPR (EU’s nye persondataforordning, red.), men der er stadig plads til forbedringer. Jo flere sikkerhedsbrud man har, desto mere bør man reflektere over, om der er noget, man burde gøre anderledes«, siger Allan Frank.

Annonce

Artiklen fortsætter efter annoncen

Annonce

Vil bruge data til nye formål

Fra KL siger Pia Færch, at kommunerne har brugt store summer på at opgradere sikkerheden og samarbejder med faglige organisationer om at øge de ansattes opmærksomhed. Generelt mener hun, at borgerne kan have tillid til de kommunale forvaltninger.

»Kommunerne er netop opmærksomme på databeskyttelse, fordi det er så vigtigt, at borgerne kan have fuld tillid til den behandling, der sker«, siger kontorchefen.

KL lobbyer generelt for at få lov til at bruge og samkøre registre med borgernes data til nye formål. Et eksempel er den famøse Gladsaxe-model, hvor persondata om alle børn og deres forældre skulle samkøres og en algoritme udpege potentielt udsatte børn. Kommunen har nu indstillet sit arbejde med projektet som følge af manglende lovhjemmel.

Pia Færch, bør kommunerne ikke få styr på den basale sikkerhed, før de eksperimenterer med borgernes data?

»Kommunerne laver ikke eksperimenter med borgernes data. Men de vil gerne bruge ny teknologi og have mulighed for at bruge data om borgerne på nye måder for at give god service og yde hjælp så tidligt som muligt. Men selvfølgelig skal det være inden for lovens rammer og på en måde, så borgerne er trygge. Generelt har kommunerne rigtig godt styr på sikkerheden«.

Redaktionen anbefaler:

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

Forsiden