Omkring 1.000 herlevborgere ramt af databrud: Kommunen beklager og vil nu højne it-sikkerheden

I dag onsdag har omkring 1.000 herlevborgere fået et elektronisk brev fra kommunen om, at de er blevet udsat for et databrud. Samtidig er sagen både blevet politianmeldt og meldt til Datatilsynet. Det oplyser direktør i Herlev Kommune, Arne Eggert.

»Det er en dybt beklagelig sag, som vi ser med stor alvor på, og vi kan kun beklage over for de borgere, som er blevet berørt af det,« fortæller han og tilføjer, at idet en stor del af borgerne er sårbare, har man i brevet også angivet kontaktoplysninger på Helhedsplejens administration og på kommunens GDPR-team for yderligere spørgsmål.

Sagen startede torsdag i sidste uge, hvor det USB-stik, som indeholder en backup-fil med sygeplejens kørelister, pludselig forsvandt fra et aflåst skab. Af kørelisterne, altså lister over de borgere, som sygeplejen besøger, fremgår borgernes navne, adresser, om borgerne har fysisk eller elektronisk nøgle til deres hoveddør, kontaktoplysninger på pårørende samt hvilken sygeplejefaglig indsats, som borgerne skal have - for eksempel sårpleje, støttestrømpe osv.

LÆS OGSÅ: Læsehuler på vej

Potentielt kriminelt

Ifølge direktøren bliver kørelisterne opdateret hver eftermiddag af den koordinerende sygeplejerske, der derefter låser USB-stikket ind i et skab, som mellem 15 og 20 andre personaler også har adgang til. Efter forsvindingen torsdag har personalet i Helhedsplejen søgt på arbejdspladsen og hjemme efter stikket, men altså uden held.

For det første skal vi finde en it-løsning, som ikke er så ekstremt gammeldags som et USB-stik

»I går tirsdag må vi så konstatere, at det er væk, og da der ikke er nogle medarbejdere, som bevidst har taget det, må vi anse det som et potentielt tyveri og betragte det som et databrud, hvilket vi tager meget alvorligt,« forklarer Arne Eggert.

Spørgsmålet er så, hvordan vil kommunen forhindre, at noget lignende kan ske fremadrettet?

Artiklen fortsætter under billedet.

For gammeldags

»For det første skal vi finde en it-løsning, som ikke er så ekstremt gammeldags som et USB-stik, hvor der er risiko for, at det bliver væk. Vi skal hurtigst muligt finde en løsning, som både er tidssvarende og sikker,« understreger direktøren, der har en ambition om, at det bliver i den allernærmeste fremtid.

»Dernæst har vi brug for at se vores egne procedurer i Helhedsplejen igennem i forhold til, hvem har adgang og på hvilke tidspunkter. Jeg synes, at den her sag viser, at vi er nødt til at stramme op og få nogle mere klare procedurer,« vurderer Arne Eggert, der tilføjer, at man indtil da vil gå tilbage til en tidligere brugt analog løsning med at printe køreplanerne ud og deponere dem i en aflåst skuffe.

den her sag viser, at vi er nødt til at stramme op og få nogle mere klare procedurer

Det fremgår af brevet til de berørte borgere, som Herlev Bladet har fået indsigt i, at man udover at stramme op på procedurer har indskærpet over for personalet, at de skal være ekstra opmærksomme på håndtering af følsomme og fortrolige oplysninger og have yderligere fokus på at identificere sig med deres ID-kort fra Herlev Kommune, når de kommer i borgernes hjem.

Ingen konsekvenser

Derudover fremgår det også, at sagen blev anmeldt til Datatilsynet tirsdag denne uge, hvilket tilsynet bekræfter. Desuden oplyser man, at sagen allerede er afsluttet. Dog må tilsynet ikke fortælle noget om, hvad udfaldet er. I forhold til hvilke konsekvenser sagen kan få for Herlev Kommune, henviser tilsynet til sin hjemmeside, hvor det fremgår, at der kan gives kritik eller ingen kritik, alvorlig kritik, påbud, forbud, advarsel, suspension og politianmeldelse. Der er også en liste over Arbejdstilsynets afgørelser. Heraf er der flere mod kommuner.

Adspurgt fortæller Herlev Kommune, at Datatilsynet har skrevet til kommunen, at man 'ikke foretager sig yderligere'.

Arne Eggert oplyser, at kommunalbestyrelsen også har fået besked, og at han på Sundheds- og Voksenudvalgsmødet i dag vil komme med en mundtlig orientering.

Herlev Kommune har tidligere været involveret i en alvorlig sag om sikkerhedsbrud med personfølsomme oplysninger. Læs mere om den her.