Sikkerhedsbrud: Liste med personnumre sendt ud til alle forældre og medarbejdere på Lindehøjskolen

Et opslag med information om forurening af drikkevandet blev søndag aften sendt ud på Lindehøjskolens kommunikationsplatform Aula. I opslaget var en liste med alle de adresser, hvor drikkevandsforbuddet var blevet ophævet ved en fejl blevet vedhæftet.

Udover adresserne indeholdt listen blandt andet også navne, CPR-numre og oplysninger om, hvorvidt der er navne- og adressebeskyttelse på adressen. Det oplyser Herlev Kommune i et brev med Centerchef for Center for Dagtilbud og Skole Camilla Ottsen som afsender, der onsdag blev sendt ud til alle de personer, der har fået lækket deres oplysninger på listen.

Ifølge Henning Mortensen, der er formand for Rådet for Digital Sikkerhed, er der tale om et alvorligt brud på persondatasikkerheden.

»Det er alvorligt og et lovbrud, og det kan have konsekvenser for de berørte,« vurderer han og peger på, at særligt oplysninger om navne- og adressebeskyttelse er uheldige at få ud. Henning Mortensen forklarer, at det kan være en god idé at holde øje med sin bank, hvis man figurerer på listen, men han understreger også, at risikoen for for eksempel identitetstyveri ikke er så stor, som den har været, fordi man er blevet bedre til at verificere, at folk er dem, de udgiver sig for at være.

Listen har ligget på Aula fra søndag den 30. oktober klokken 19.38 til mandag den 31. oktober klokken 18.03, skriver Herlev Kommune i brevet til de berørte. Mandag aften gjorde en forælder skolens ledelse opmærksom på listen, der så blev fjernet. Kommunen skriver også, at filen med de personfølsomme oplysninger har været åbnet 69 gange. ‘Herlev Kommune er pt. igang med at finde frem til identiteten af de 69 personer, der har tilgået filen, for at anmode dem om at slette eventuelle downloads,’ skriver kommunen.

LÆS OGSÅ: Nyt om nedrivningen af Bangs Torv

Kan tildeles en bøde

Formanden for Rådet for Digital Sikkerhed forklarer, at én ting er de risici, der er forbundet med, at de personlige oplysninger er endt i forkerte hænder.

»Det har jo også den konsekvens, at når sådan noget sker, så får vi mindre tillid til digitaliseringen. Og den har vi behov for, og det er vigtigt, at vi har tillid til det, det offentlige gør,« siger han.

Ifølge Henning Mortensen kan fejlen tyde på, at Herlev Kommune ikke har indført et såkald DLP-system. DLP står for ‘Data loss prevention,’ og er et program, der registrerer, når personfølsomme oplysninger som cpr-numre figurerer i et dokument.

»Og så vil systemet spørge, om man nu er helt sikker på, at det skal med, før man sender det ud. Det er et simpelt program, der nok kunne have forhindret det her,« forklarer han og understreger, at kommunen har pligt til at lave en risikovurdering over, hvorvidt den slags kan ske.

Herlev Kommune oplyser i brevet, at sikkerhedsbruddet er anmeldt til Datatilsynet. Ifølge Henning Mortensen vil tilsynet vurdere, hvorvidt sagen er så alvorlig, at Herlev Kommune kan tildeles en bøde.

I brevet skriver Herlev Kommune, at sagen har medført at ‘Herlev Kommune har skærpet sikkerheden omkring behandlingen af personoplysninger, både ved tekniske og organisatoriske sikkerhedstiltag, og det er blevet indskærpet, at man skal være ekstra opmærksom på håndteringen af følsomme og fortrolige oplysninger.’

Onsdag i denne uge sendte Herlev Kommune endnu et brev ud til de borgere, der er berørt af sikkerhedsbruddet. Brevet har Frederique Andersen fra kommunens GDPR-enhed som afsender. I brevet listes der en vejledning til bekymrede borgere med kontaktinformationer til blandt andet hotline for identitetstyveri og et telefonnummer til kommunens tryghedskonsulent.

Herlev Bladet har bedt om et mundtligt interview med en ansvarlig hos kommunens GDPR-enhed for blandt andet at spørge, hvordan sådan en fejl kan ske. De vil ikke stille op til interview, og kommunens kommunikationsafdeling oplyser, at de gerne vil svare på spørgsmål på skrift. De har ikke svaret inden Herlev Bladets deadline.

Herlev Bladet har også kontaktet Centerchef for Center for Dagtilbud og Skole Camilla Ottsen for at få hendes reaktion på sagen, men hun er endnu ikke vendt tilbage.

I januar i år skrev Herlev Bladet en historie om, at Herlev Kommune i en periode fra april til september havde haft 36 brud på datasikkerheden. I den forbindelse ville Kristina Lambrecht, stabschef for IT, Personale og Økonomi heller ikke tale med Herlev Bladet, men svarede i et skriftligt svar, at de 36 brud primært skyldes menneskelige fejl og at ‘det er desværre uundgåeligt, at der sker menneskelige fejl i forbindelse med de cirka 1,5 millioner mails, som vi årligt sender ud af huset.’