Herlev Kommune om sikkerhedsbrud: Det er dybt ulykkeligt og meget alvorligt

‘Der er ingen af vores medarbejdere, der har haft intentioner om at dele fortrolige oplysninger. Det der er sket, er et udtryk for menneskelig fejl. Det er en alvorlig menneskelig fejl og det er også blevet indskærpet over for personalet. Vi er i dialog med de 69 personer, som har downloadet filen. De er blevet bedt om at bekræfte, at de har slettet filen,’ skriver Herlev Kommune. Herlev Bladet har bedt om et mundtligt interview, men det er blevet afslået. Kommunen har derfor svaret på en række spørgsmål på skrift: 

Hvordan kunne det ske?  

‘I forbindelse med den gradvise ophævelse af drikkevandsforbuddet i dele af Herlev Kommune, blev der til internt brug dannet en liste over, hvilke veje/adresser, der ikke længere var omfattet af vandforureningen.  Listen blev dannet til internt brug, og således ikke med henblik på at dele den eksternt. Listen var dannet i Excel, med flere faneblade. På ét faneblad fremgik vejnavne på de 73 omfattede veje. På et andet faneblad fremgik, at der var tale om fortrolige oplysninger, og på et tredje faneblad fremgik på grund af en uheldig, menneskelig fejl også en kolonne med cpr-numre på i alt 1369 personer.’  

Formanden for Rådet for Digital Sikkerhed, Henning Mortensen, oplyser til Herlev Bladet, at Datatilsynet i den slags sager vil vurdere, hvorvidt sagen er så alvorlig, at Herlev Kommune kan tildeles en bøde. Han forklarer, at et såkaldt DLP-system kan forhindre, at den slags fejl sker. DLP står for ‘Data loss prevention,’ og er et program, der registrerer, når personfølsomme oplysninger som CPR-numre figurerer i et dokument. Systemet sikrer så, at brugeren er klar over, at et dokument indeholder personfølsomme oplysninger, før det sendes ud.

Bruger Herlev Kommune DLP-programmer/systemer. Hvis ja/nej hvor/hvorfor ikke? 

‘Herlev Kommune bruger DLP (Data Loss Prevention) for at sikre, at følsomme personoplysninger ikke sendes ud af organisationen. I denne situation er listen blevet downloadet fra en intern mail og derefter uploadet til Aula. DLP-reglen har ikke været opsat til at fange den type intern handling. Der findes ingen DLP-funktion i Aula og derfor har Aula ikke advaret om dette i forbindelse med excel-arket blev publiceret på Aula.’ 

 Tager det meget alvorligt

Hvad betyder det helt konkret, at ’Herlev Kommune har skærpet sikkerheden omkring behandlingen af personoplysninger, både ved tekniske og organisatoriske sikkerhedstiltag, og det er blevet indskærpet, at man skal være ekstra opmærksom på håndteringen af følsomme og fortrolige oplysninger? (som Herlev Kommune skriver i et brev til de berørte borgere.red)’  

‘Kommunens øverste ledelse har taget sikkerhedsbruddet meget alvorligt og har overfor organisationen indskærpet fokus på håndtering af personoplysninger samt formålsbegrænsning og dataminimering, som er grundlæggende principper i GDPR’. 

Hvad kommer I helt konkret til at gøre anderledes fremover? 

‘Herlev kommune tilpasser DLP-reglerne, så de fremadrettet vil advare ved intern videresendelse af større mængder følsomme personoplysninger og CPR-numre. Vi vil ligeledes undersøge om en DLP-funktion kan implementeres i Aula.’ 

 Hvor mange borgere har I fået henvendelser fra i kølvandet på det her? 

‘Vi har indtil nu fået henvendelse fra ca. 30 borgere.’ 

Gør I noget særligt ifht de borgere, der har navne- og adressebeskyttelse, men alligevel fremgår af listen?  

‘Vi orienterede de få borgere, som har navne- og adressebeskyttelse som det første. Alle registrerede i sikkerhedsbruddet har fået information om sikkerhedsbruddet og er blevet vejledt om, hvor man kan søge yderligere råd og vejledning og konkret hjælp, hvis man skulle få mistanke om, at ens personoplysninger er blevet misbrugt.’

LÆS OGSÅ: Vil vælte menighedsrådet for Præstebro Kirke