Trykkede på den forkerte knap: 13.000 skoleelevers CPR-numre sendt uden beskyttelse

12.915 skoleelever fra Silkeborg Kommune har fået delt deres personnumre uden den nødvendige sikkerhed.

Det skriver Datatilsynet i en afgørelse på sin hjemmeside, hvor tilsynsmyndigheden samtidig retter 'alvorlig kritik' af kommunen for behandlingen af personoplysninger.

- Der er grundlag for at udtale alvorlig kritik af, at Silkeborg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne, skriver tilsynet, der lægger vægt på, at det er gået ud over børn.

Tilsynet mener, at kommunen har brudt reglerne, da en ansat i februar sendte cpr-numre, skolenavn og skolekode for 12.915 elever videre til Danmarks Statistik via en ukrypteret mail.

Det er udelukkende Danmarks Statistik, der har haft adgang til mailen, forsikrer skolechef i Silkeborg Kommune, Thomas Born Smidt, der betragter episoden som en 'hændelig fejl'.

- Den skulle have være krypteret, men det blev den ikke. Det er den simple fejl, forklarer han.

I sagen om cpr-numrene på de mange skolelever havde kommunen faktisk kryptering til rådighed. Men ved en fejl kom en ansat til at sende mailen med de personfølsomme oplysninger som ukrypteret.

- En medarbejder, der kendte til retningslinjerne for at sende e-mails sikkert, kom til at sende e-mailen usikkert ved at trykke på den forkerte knap, skriver tilsynet.

Selv hvis den ansatte havde trykket på knappen, havde krypteringen ikke været god nok, vurderer tilsynet.

- Det er tilsynets opfattelse, at TLS 1.1 (krypteringsprotokol, red.), som på tidspunktet var implementeret i Silkeborg Kommune, på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget, skriver tilsynet.

Skruet op for sikkerheden

Det var Silkeborg Kommune, der selv gjorde Datatilsynet opmærksom på fejlen.

Allerede samme dag som den ukrypterede mail blev sendt, rettede kommunen henvendelse til tilsynet. 

Skolechef i Silkeborg Kommune, Thomas Born Smidt, forklarer, at episoden har givet anledning til at gennemgå retningslinjerne igen.

- Når man laver en fejl, skal vi sikre os, at vi får noget læring ud af det, siger han.

Ifølge skolechefen indførte kommunen fra august 2021 den mere sikre TLS 1.2 kryptering på alle e-mailforsendelser.

- Derfor kan fejlen i princippet ikke ske igen, forsikrer han.

Tilsyn kræver ekstra sikkerhed ved store datasæt

I afgørelsen påpeger tilsynet også, at kommuner skal være særlige opmærksom ved store datasæt med personfølsomme oplysninger.

Konkret skal en kommune sikre sig, at de ikke kan læses via en tredjemand, der har hacket sig til mailen eller fået dem ved en fejl.

Det kan blandt andet ske via såkaldt 'end-to-end kryptering', der kræver en særlig datanøgle for at få adgang til mailen.

- Det er Datatilsynets opfattelse, at kryptering på transportlaget ved hjælp af TLS ikke i alle tilfælde er tilstrækkelig sikkerhed når der sendes mange fortrolige og/eller følsomme personoplysninger, skriver tilsynet.

Kommunaldirektør, Lone Lyrskov, har direktøransvaret for it-staben i Silkeborg Kommune.

TV MIDTVEST vil gerne have spurgt hende til brugen af 'end-to-end kryptering' ved mails med store datasæt med personfølsomme oplysninger, samt hvorfor kommunen først i august 2021 droppede TLS 1.1, selvom Datatilsynet allerede i 2018 krævede bedre kryptering i de fleste tilfælde.

Hun har ikke yderligere tilføjelser, skriver hun i en SMS til TV MIDTVEST.