Flere tusinde CPR-numre lækket: - Det er fuldstændig uacceptabelt

Mindst 4.543 CPR-numre har været tilgængelige på Aarhus Kommunes offentlige byggesagsarkiv.

Bemærk: Artiklen er mere end 30 dage gammel
CPR-numre og adresser på borgere med adressebeskyttelse er blevet lækket fra byggesagsarkiv. Foto: Henning Bagger/Ritzau Scanpix
Af Emma Bjerg Nielsen

I løbet af en periode på knap tre måneder har mindst 4.543 CPR-numre samt adresseoplysninger på 66 borgere med adressebeskyttelse ligget offentligt tilgængeligt på Aarhus Kommunes byggesagsarkiv, MinEjendom (minejendom.aarhus.dk).

Læs også:

Aarhus Kommune lækkede masser af cpr-numre: Anmelder sig selv til tilsyn

Perioden, hvor oplysningerne har været lækket, strækker sig fra den 21. juni i år frem til den 14. september, hvor MinEjendom blev lukket ned. Aarhus Kommune meldte efterfølgende selv datalækket til Datatilsynet.

Siden da er der blevet lavet en redegørelse over omfanget, som altså viser at flere tusinde borgere har fået lækket private data på hjemmesiden. I alt er 375 CPR-numre og adresseoplysninger på fire personer med adressebeskyttelse kommet uvedkommende til kendskab.

- Det er fuldstændig uacceptabelt. Det er alvorligt, at så mange personoplysninger har været offentligt tilgængelige. Jeg er rigtig ked af, at det har været tilfældet, og jeg undskylder overfor de berørte borgere, siger direktør i Teknik og Miljø Henrik Seiding til TV2 ØSTJYLLAND.

- Vi tager det med den største alvor. Man skal kunne regne med, at vi kan finde ud af at beskytte folks personlige oplysninger, og det kunne vi ikke i denne her sag.

Man skal kunne regne med, at vi kan finde ud af at beskytte folks personlige oplysninger, og det kunne vi ikke i denne her sag.
Henrik Seiding, direktør i Teknik og Miljø

Kommunen blev opmærksomme på datalækket, da Århus Stiftstidende havde foretaget en stikprøve af siden og fundet omkring 250 borgeres CPR-numre i 15 byggesager. CPR-numre, der i henhold til GDPR-lovgivningen naturligvis ikke må kunne tilgås på den måde.

Redegørelsen konkluderer, at de mange CPR-numre og følsomme personoplysninger er gjort tilgængelige på MinEjendom i forbindelse med frigivelsen af en større datamængde, der blev gjort tilgængelig på løsningen 21. juni 2021.

Ville spare på ressourcerne

Hidtil var alle 10 millioner filer i systemet lukkede, medmindre de maskinelt eller manuelt var gennemgået og tjekket for personlige oplysninger. Standarden var altså, at dokumenterne var lukkede medmindre nogen åbnede op for dem manuelt.

Men den 21. juni blev der truffet beslutning om, at en datamængde på omkring 3 millioner dokumenter i 105.000 digitale byggesager i arkivet skulle være åbne som standard for at spare ressourcer i byggesagsafdelingen i Teknik og Miljø.

Man valgte dermed alene at basere persondatasikkerheden på et program som automatisk søgte på konkrete nøgleord i dokumenttitlerne, som kunne indikere at et dokument indeholdt fortrolige oplysninger. Filer, der ikke indeholdt fortrolige oplysninger ifølge programmet blev gjort tilgængelige, og i alt 770.000 filer med fortrolige oplysninger blev lukket.

Læs også:

Ægtepar fra Djursland i chok: Hvorfor vil nogen i Horsens undersøge os?

Det har imidlertid vist sig, at arbejdsmetoden med søgeord og udtagning af særlige filer slet ikke var tilstrækkeligt for at sikre datasikkerheden.

- Den beslutning er taget letsindigt efter min mening, og det var en kritisabel beslutning. Nu har vi brug for at komme helt til bunds i , hvordan vi kan gøre det sikkert igen, og hvad der var baggrunden for beslutningen. Vi skal vide, hvem der har vidst hvad og hvornår. Vi vil have placeret et ansvar, siger direktør i Teknik og Miljø Henrik Seiding.

- Det er selvfølgelig mig, der har det overordnede ansvar – derfor er det også mig, der nu går ud og beklager.

Skal fortsat undersøges

Som udløber af den indledende redegørelse vil der den kommende tid blive foretaget yderligere undersøgelser af sagsforløbet og de retningslinjer, Aarhus Kommune arbejder efter i forhold til IT-sikkerhed. En endelig redegørelse forventes at foreligge inden årets udgang.

Der vil nu blive foretaget en række tjenstlige samtaler med de personer, som var med til at træffe beslutningerne om at åbne systemet. Samtalerne skal også klarlægge, hvordan man reagerede på 14 mindre datalæk i tiden frem mod maj 2021 i forhold til datasikkerheden i MinEjendom.

- Den konkrete sag giver anledning til en grundig risikovurdering af persondatasikkerheden og proceduren i MinEjendom og kommunens andre digitale løsninger, så vi er sikre på, at vi reagerer så hurtigt som muligt, hvis noget lignende sker igen. Vi vil gøre, hvad vi kan for at lære af denne her fejl.

Læs også:

Borgmester kræver handling i sag om borgeres CPR-numre

MinEjendom.aarhus.dk er endnu ikke genåbnet. Teknik og Miljø er i gang med at indkøbe et helt nyt system, og det er forventningen, at det nye system kan sættes i drift den 1. januar 2022.

I mellemtiden vil det ikke kunne undgås, at der kommer længere sagsbehandlinger som følge af nedlukningen ifølge direktøren.

- Processerne vil blive behandlet manuelt, indtil en digital løsning åbnes igen. Det vil påvirke folks oplevelse af vores service, for det vil tage længere tid. Vi har haft cirka 500 brugere af systemet hver eneste dag. Dem skal vi behandle manuelt, og vi kommer ikke til at kunne følge med de kommende måneder, siger Henrik Seiding.

Sådan ser minejendom.aarhus.dk ud, når man forsøger at tilgå siden nu.

Korte videoer

Mest sete

play-fill Seneste på Play

Dit digitale aftryk

Vi indsamler information for at huske indstillinger, forbedre sikkerheden, analysere statistik samt og vise dig funktioner til sociale medier. Vi sporer dig ikke systematisk på vores hjemmeside eller på tværs af andre hjemmesider og apps. Du kan altid tilbagetrække eller ændre dit samtykke, ved at klikke på ”Tilpas dit samtykke til cookies her” i bunden af siden. Klik på detaljer, hvis du vil vide mere om brugen af cookies.

Du kan altid ændre dine præferencer senere.

Her kan du finde en oversigt over hvilke cookies vi potentielt sætter.
Du kan se flere detaljer om vores cookies her

Funktionelle cookies

Funktionelle cookies giver os mulighed for at huske dine præferencer og forbedre din brugeroplevelse. Disse cookies er ikke strengt nødvendige, men de gør din oplevelse mere personlig og problemfri.

Navn Udbyder
__cf_bm vimeo.com
_cfuvid vimeo.com
AWSALB Amazon Web Services
AWSALB Amazon Web Services
AWSALBCORS Amazon Web Services
AWSALBCORS Amazon Web Services
bcookie LinkedIn
beyondwords no-domain
bscookie LinkedIn
csrftoken instagram.com
JSESSIONID LinkedIn
jwplayer.bandwidthEstimate no-domain
jwplayerLocalId no-domain
lang LinkedIn
LAST_RESULT_ENTRY_KEY youtube.com
li_gc LinkedIn
lidc LinkedIn
pusherTransportTLS no-domain
remote_sid youtube.com

Statistikcookies

Statistikcookies hjælper os med at forstå, hvordan vores hjemmeside bliver brugt, så vi kan forbedre den. Vi forsøger at minimere brugen af eksterne tjenester og sikrer, at dine data anonymiseres så vidt muligt.

Navn Udbyder
_cb Chartbeat
_cb Chartbeat
_cb Chartbeat
_cb_expires Chartbeat
_cb_svref Chartbeat
_cb_svref Chartbeat
_cb_svref_expires Chartbeat
_cbt Chartbeat
_chartbeat2 Chartbeat
_chartbeat2 Chartbeat
_chartbeat2_expires Chartbeat
_chartbeat4 Chartbeat
_chartbeat4 Chartbeat
_chartbeat4_expires Chartbeat
_clsk tv2ostjylland.dk
_t_tests Chartbeat
_t_tests Chartbeat
_t_tests_expires Chartbeat
_v__cb_cp Chartbeat
_v__cb_cp Chartbeat
_v__cb_cp_expires Chartbeat
_v__chartbeat3 Chartbeat
_v__chartbeat3 Chartbeat
_v__chartbeat3_expires Chartbeat
bugsnag-anonymous-id no-domain
userId tv2ostjylland.dk
vuid vimeo.com

Markedsføringscookies

Vi anvender ikke selv markedsføringscookies, men vi har valgt at kategorisere en række cookies, som eksterne partnere sætter, som netop markedsføringscookies for at gøre dig som bruger opmærksomme på dem. Vi anvender kun eksternt indhold når det er vores vurdering, at det løfter kvaliteten af vores journalistik eller at det er bydende nødvendigt.

Navn Udbyder
_ga Google
_ga Google
_ga_LVEFKMG087 Google
_ga_VNYPEBL4PG Google
li_alerts LinkedIn
VISITOR_INFO1_LIVE YouTube
VISITOR_PRIVACY_METADATA YouTube
YSC YouTube

Nødvendige cookies

Disse cookies er essentielle for at vores hjemmeside fungerer korrekt. De sikrer grundlæggende funktioner. Uden disse cookies ville siden ikke kunne fungere optimalt.

Navn Udbyder
CookieConsent tv2ostjylland.dk
CookieConsent tv2ostjylland.dk
frequencyCategoryV2 tv2ostjylland.dk
frequencyCategoryV2 tv2ostjylland.dk
frequencyCategoryV2 tv2ostjylland.dk
oj_ovp_session oj.tv2reg.stream
PHPSESSID recruit.hr-on.com
recencyCategoryV2 tv2ostjylland.dk
recencyCategoryV2 tv2ostjylland.dk
recencyCategoryV2 tv2ostjylland.dk
recencyLastVisitV2 tv2ostjylland.dk
recencyLastVisitV2 tv2ostjylland.dk
SRVNAME oj.tv2reg.stream
TESTCOOKIESENABLED youtube.com
tv2_ostjylland_session tv2ostjylland.dk
tv2reg_cookie_consent tv2ostjylland.dk
visitedPagesV2 tv2ostjylland.dk
visitedPagesV2 tv2ostjylland.dk
visitHistoryFrequencyV2 tv2ostjylland.dk
XSRF-TOKEN oj.tv2reg.stream
XSRF-TOKEN tv2ostjylland.dk

Præference-cookies

Præference-cookies husker dine valg, så vi kan tilpasse hjemmesiden efter dine behov. Disse cookies sikrer, at du får en mere personlig oplevelse ved hvert besøg.

Navn Udbyder
NID Google