Trykkede på den forkerte knap: 13.000 skoleelevers CPR-numre sendt uden beskyttelse
Silkeborg Kommune erkender, at det var en menneskelig fejl, der var skyld i bruddet på reglerne.
12.915 skoleelever fra Silkeborg Kommune har fået delt deres personnumre uden den nødvendige sikkerhed.
Det skriver Datatilsynet i en afgørelse på sin hjemmeside, hvor tilsynsmyndigheden samtidig retter 'alvorlig kritik' af kommunen for behandlingen af personoplysninger.
- Der er grundlag for at udtale alvorlig kritik af, at Silkeborg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne, skriver tilsynet, der lægger vægt på, at det er gået ud over børn.
Tilsynet mener, at kommunen har brudt reglerne, da en ansat i februar sendte cpr-numre, skolenavn og skolekode for 12.915 elever videre til Danmarks Statistik via en ukrypteret mail.
Det er udelukkende Danmarks Statistik, der har haft adgang til mailen, forsikrer skolechef i Silkeborg Kommune, Thomas Born Smidt, der betragter episoden som en 'hændelig fejl'.
- Den skulle have være krypteret, men det blev den ikke. Det er den simple fejl, forklarer han.
Det siger reglerne:
Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Kilde: Datatilsynet
I sagen om cpr-numrene på de mange skolelever havde kommunen faktisk kryptering til rådighed. Men ved en fejl kom en ansat til at sende mailen med de personfølsomme oplysninger som ukrypteret.
- En medarbejder, der kendte til retningslinjerne for at sende e-mails sikkert, kom til at sende e-mailen usikkert ved at trykke på den forkerte knap, skriver tilsynet.
Selv hvis den ansatte havde trykket på knappen, havde krypteringen ikke været god nok, vurderer tilsynet.
- Det er tilsynets opfattelse, at TLS 1.1 (krypteringsprotokol, red.), som på tidspunktet var implementeret i Silkeborg Kommune, på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget, skriver tilsynet.
Skruet op for sikkerheden
Det var Silkeborg Kommune, der selv gjorde Datatilsynet opmærksom på fejlen.
Allerede samme dag som den ukrypterede mail blev sendt, rettede kommunen henvendelse til tilsynet.
Kryptering af mail:
TLS betyder Transport Layer Security, og sikrer som navnet indebærer, at emailen er beskyttet under transporten til den tiltænkte modtager. Sender man mailen til en forkert person, eller får en hacker adgang til modtagerens indbakke, kan de frit læse med, da krypteringen kun virkede under transporten.
End-to-end kryptering er et skridt længere op ad sikkerhedsstien. Her har både afsender og modtager en nøgle, som kun de kender, og mailen kan kun læses med denne nøgle. Sender du mailen til en forkert person, eller får en hacker adgang til din indbakke, kan de kun læse med, hvis de også har en af nøglerne. Datatilsynet peger på, at denne kryptering bør bruges, hvis en kommune behandler store datasæt.
Kilde: Version2 / Datatilsynet
Skolechef i Silkeborg Kommune, Thomas Born Smidt, forklarer, at episoden har givet anledning til at gennemgå retningslinjerne igen.
- Når man laver en fejl, skal vi sikre os, at vi får noget læring ud af det, siger han.
Ifølge skolechefen indførte kommunen fra august 2021 den mere sikre TLS 1.2 kryptering på alle e-mailforsendelser.
- Derfor kan fejlen i princippet ikke ske igen, forsikrer han.
Tilsyn kræver ekstra sikkerhed ved store datasæt
I afgørelsen påpeger tilsynet også, at kommuner skal være særlige opmærksom ved store datasæt med personfølsomme oplysninger.
Konkret skal en kommune sikre sig, at de ikke kan læses via en tredjemand, der har hacket sig til mailen eller fået dem ved en fejl.
Det kan blandt andet ske via såkaldt 'end-to-end kryptering', der kræver en særlig datanøgle for at få adgang til mailen.
- Det er Datatilsynets opfattelse, at kryptering på transportlaget ved hjælp af TLS ikke i alle tilfælde er tilstrækkelig sikkerhed når der sendes mange fortrolige og/eller følsomme personoplysninger, skriver tilsynet.
Kommunaldirektør, Lone Lyrskov, har direktøransvaret for it-staben i Silkeborg Kommune.
TV MIDTVEST vil gerne have spurgt hende til brugen af 'end-to-end kryptering' ved mails med store datasæt med personfølsomme oplysninger, samt hvorfor kommunen først i august 2021 droppede TLS 1.1, selvom Datatilsynet allerede i 2018 krævede bedre kryptering i de fleste tilfælde.
Hun har ikke yderligere tilføjelser, skriver hun i en SMS til TV MIDTVEST.
