TV2 Østjylland
  • Din kommune
  • Play
  • Tip os
  • Din kommune
  • Play
  • Tip os
29. nov 2021, kl. 08:23
Bemærk: Artiklen er mere end 30 dage gammel

Trykkede på den forkerte knap: 13.000 skoleelevers CPR-numre sendt uden beskyttelse

Silkeborg Kommune erkender, at det var en menneskelig fejl, der var skyld i bruddet på reglerne.

Datatilsynet udtaler alvorlig kritik af Silkeborg Kommunes behandling af personoplysninger.
Datatilsynet udtaler alvorlig kritik af Silkeborg Kommunes behandling af personoplysninger. Foto: Henning Bagger/Ritzau Scanpix
{{
  • Olav Fonager

12.915 skoleelever fra Silkeborg Kommune har fået delt deres personnumre uden den nødvendige sikkerhed.

Det skriver Datatilsynet i en afgørelse på sin hjemmeside, hvor tilsynsmyndigheden samtidig retter 'alvorlig kritik' af kommunen for behandlingen af personoplysninger.

- Der er grundlag for at udtale alvorlig kritik af, at Silkeborg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne, skriver tilsynet, der lægger vægt på, at det er gået ud over børn.

Læs også:
Kommuner holder ikke øje med CPR-snageri

Tilsynet mener, at kommunen har brudt reglerne, da en ansat i februar sendte cpr-numre, skolenavn og skolekode for 12.915 elever videre til Danmarks Statistik via en ukrypteret mail.

Det er udelukkende Danmarks Statistik, der har haft adgang til mailen, forsikrer skolechef i Silkeborg Kommune, Thomas Born Smidt, der betragter episoden som en 'hændelig fejl'.

- Den skulle have være krypteret, men det blev den ikke. Det er den simple fejl, forklarer han.

Det siger reglerne:

Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Kilde: Datatilsynet

I sagen om cpr-numrene på de mange skolelever havde kommunen faktisk kryptering til rådighed. Men ved en fejl kom en ansat til at sende mailen med de personfølsomme oplysninger som ukrypteret.

- En medarbejder, der kendte til retningslinjerne for at sende e-mails sikkert, kom til at sende e-mailen usikkert ved at trykke på den forkerte knap, skriver tilsynet.

Selv hvis den ansatte havde trykket på knappen, havde krypteringen ikke været god nok, vurderer tilsynet.

Aarhus Rådhus
Læs også:
Flere tusinde CPR-numre lækket: - Det er fuldstændig uacceptabelt

- Det er tilsynets opfattelse, at TLS 1.1 (krypteringsprotokol, red.), som på tidspunktet var implementeret i Silkeborg Kommune, på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget, skriver tilsynet.

Skruet op for sikkerheden

Det var Silkeborg Kommune, der selv gjorde Datatilsynet opmærksom på fejlen.

Allerede samme dag som den ukrypterede mail blev sendt, rettede kommunen henvendelse til tilsynet. 

Kryptering af mail:

TLS betyder Transport Layer Security, og sikrer som navnet indebærer, at emailen er beskyttet under transporten til den tiltænkte modtager. Sender man mailen til en forkert person, eller får en hacker adgang til modtagerens indbakke, kan de frit læse med, da krypteringen kun virkede under transporten.

End-to-end kryptering er et skridt længere op ad sikkerhedsstien. Her har både afsender og modtager en nøgle, som kun de kender, og mailen kan kun læses med denne nøgle. Sender du mailen til en forkert person, eller får en hacker adgang til din indbakke, kan de kun læse med, hvis de også har en af nøglerne. Datatilsynet peger på, at denne kryptering bør bruges, hvis en kommune behandler store datasæt. 

Kilde: Version2 / Datatilsynet

Skolechef i Silkeborg Kommune, Thomas Born Smidt, forklarer, at episoden har givet anledning til at gennemgå retningslinjerne igen.

- Når man laver en fejl, skal vi sikre os, at vi får noget læring ud af det, siger han.

Ifølge skolechefen indførte kommunen fra august 2021 den mere sikre TLS 1.2 kryptering på alle e-mailforsendelser.

- Derfor kan fejlen i princippet ikke ske igen, forsikrer han.

Tilsyn kræver ekstra sikkerhed ved store datasæt

I afgørelsen påpeger tilsynet også, at kommuner skal være særlige opmærksom ved store datasæt med personfølsomme oplysninger.

Konkret skal en kommune sikre sig, at de ikke kan læses via en tredjemand, der har hacket sig til mailen eller fået dem ved en fejl.

Læs også:
Hele Kamillas familie er dværge - drømmer selv om at få dværgebørn

Det kan blandt andet ske via såkaldt 'end-to-end kryptering', der kræver en særlig datanøgle for at få adgang til mailen.

- Det er Datatilsynets opfattelse, at kryptering på transportlaget ved hjælp af TLS ikke i alle tilfælde er tilstrækkelig sikkerhed når der sendes mange fortrolige og/eller følsomme personoplysninger, skriver tilsynet.

Kommunaldirektør, Lone Lyrskov, har direktøransvaret for it-staben i Silkeborg Kommune.

TV MIDTVEST vil gerne have spurgt hende til brugen af 'end-to-end kryptering' ved mails med store datasæt med personfølsomme oplysninger, samt hvorfor kommunen først i august 2021 droppede TLS 1.1, selvom Datatilsynet allerede i 2018 krævede bedre kryptering i de fleste tilfælde.

Hun har ikke yderligere tilføjelser, skriver hun i en SMS til TV MIDTVEST.

{{
  • Nu begynder sagen: Bandemedlemmer afpressede familiefar og startede kæmpebrand
  • Nye arbejdsnedlæggelser kan ramme sygehuse mandag morgen
  • Julemarked med gamle håndværk en succes - trods corona
facebook twitter mail

Mest sete

  • skildpadde i gudenå

    Midt på familiens kanotur dukkede et usædvanligt syn op

  • dødsulykke pederstrupvej

    Frontalt sammenstød: Motorcyklist død

  • Tørke

    Efter ugers tørke: Vandværk indfører restriktioner

  • Liveblog
    frank drabssag

    LIVE: Endnu en seksuel relation belyses i spektakulær drabssag

  • Palle Lumby Holmsø Resort

    Palle er flyttet på spritnyt resort: - Jeg tror, det er et sted, man bliver yngre med årene

  • Vanding

    Tørken er her: Her er gartneres tips til vanding

  • Julie Okkels Graversgaard

    Tandlæge sagde fra: 18-årige Julie tog 17 poser snus om dagen

  • dødsulykke pederstrupvej

    Frontalt sammenstød: Motorcyklist død

  • Mindesten split

    Mindesten for ung skuddræbt rejst ved gymnasium

  • IMG_2432

    Ny app skal med danskerne på sommerferie

  • ejvind jensen duo

    Har kæmpet i flere år: Nu får fiskerne stort ønske opfyldt

  • Tørke

    Efter ugers tørke: Vandværk indfører restriktioner

  • 20210429-140003-L-3248x2168ma

    Klagesager afvises - omstridte parker rykker nærmere

  • Line sanker

    Line spiste ukrudt til smerterne gik væk: Her er fem urter, du kan finde lige nu

  • Øxenholt Drab på Djursland undersøgelse udbrændt bil Frank Dan Nørgaard Jørgensen

    Anklager: Frank skulle dø, så tiltalt kunne blive far

  • Aarhus Universitetshospital AUH sygehus Skejby

    Kirurger forlader hospital efter kræftsag om lange ventetider

  • spritbilist

    Spritbilist med tårnhøj promille snuppet i mors bil

  • handicapbus

    Betina bliver overfuset og svinet til: Dropper indkøbsture

TV2 Østjylland

Kontakt

  • Tip os
  • Sig din mening
  • Send klage
  • Find medarbejder
  • Book rundvisning
  • Sponsorater
  • Reklamer

Om os

  • Hvem er vi?
  • Udviklingsblog
  • Bestyrelse
  • Repræsentantskab

Job uddannelse

  • Ledige stillinger
  • Erhvervspraktik
  • Journalistpraktikant
  • FTP-elev

Services

  • Tekstet for hørehæmmede
  • Public service
  • Sådan ser du TV2ØJ
  • Nyhedsbrev
  • Privatlivspolitik
  • Cookies
Vi tager ansvar for indholdet og er tilmeldt Pressenævnet
TV2 Østjylland Skejbyparken 1, 8200 Aarhus N Skriv til: redaktion@tv2oj.dk Ring: (+45) 87424242
facebook twitter linkedin instagram youtube tiktok
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. TV2 Østjylland forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indhold med henblik på tekst- og datamining, jf. ophavsretslovens § 11b og DSM-direktivets artikel 4.