Sikkerhedsbrist i 74 kommuner: Claus' CPR-nummer kan være lækket

Flere tusinde nordjyder kan have fået lækket deres CPR-nummer på grund af fejl i kommunale it-systemer. Tre fjerdedele af alle landets kommuner er ramt af sikkerhedsbristen. En af dem er Hjørring Kommune, hvor 823 borgere har fået brev om fejlen.

Mandag modtog Claus Hildebrandt fra Tårs en besked fra Hjørring Kommune, som rystede ham dybt. I beskeden står der, at Hjørring Kommune har haft en sikkerhedsbrist i perioden fra november 2014 til maj 2019, som betyder, at en meddelelse med personfølsomme oplysninger ikke er håndteret korrekt.

quote Vi kan ikke udelukke, at nogen har fået fat i det her CPR-nummer

Martin Sort Mikkelsen, chef for Økonomi- og Personaleforvaltningen i Hjørring Kommune

- Alle politikere og kommunale folk vil så gerne have, at vi alle sammen skal være digitale, og det er også godt nok, men når sådan noget her sker, så havde det jo været bedre, hvis vi stadig brugte brevduer, siger Claus Hildebrandt, der er ventilationstekniker.

Fejlen er siden blevet rettet, og der er sendt brev med orientering om fejlen ud til de borgere, som kan være omfattet sikkerhedsbristen.  

- Uanset, at vi ikke har indikation på, at der er sket misbrug, eller borgerne på nogen måde er ramt, så kan vi ikke udelukke, at der er en risiko for, at nogen har fået fat i det her CPR-nummer, og når vi ikke kan udelukke, at der er en risiko, så har vi pligt til at informere borgerne, og derfor har vi skrevet ud til dem, siger Martin Sort Mikkelsen, der er chef for Økonomi- og Personaleforvaltningen i Hjørring Kommune.

 
 
Foto: Jesper Lange

Anmeldt til Datatilsynet

I alt 823 borgere i Hjørring er involveret i sagen. Sikkerhedsbristet er sket, idet de har brugt en selvbetjeningsløsning til ansøgning om boliglån på hjemmesiden borger.dk. Det er Hjørring Kommunes leverandør, KMD, der har været skyld i fejlen.

- Det er ikke, fordi vi roser dem for at lave en fejl, men vi måler på, om de reagerer, som de skal, når de konstaterer fejlen, og det har de gjort, så det er grunden til, at vi har tillid til dem, siger Martin Sort Mikkelsen.

KMD har rettet op på fejlen, efter de blev opmærksomme på den, og Hjørring Kommune har anmeldt sagen til Datatilsynet.

quote Når sådan noget her sker, så havde det jo været bedre, hvis vi stadig brugte brevduer,

Claus Hildebrandt, Tårs

5000 sager på et år

I maj sidste år trådte en ny persondatalov i kraft, som betyder, at kommunerne skal anmelde sager som denne til tilsynet.

Det har betydet, at Datatilsynet har haft særligt travlt i år, og de vurderer, at der har været omkring 5000 sager af større og mindre grad, siden loven trådte i kraft. Det har også betydet, at Datatilsynet har udvidet medarbejderstaben fra 35 ansatte til 60 ansatte på to år.

Hos Hjørring Kommune beklager de sikkerhedsbristen, men kommunen mener, at de har håndteret sagen korrekt, da de blev orienteret af KMD.

- Man skal aldrig prale af, at der er begået fejl, men jeg synes, at håndteringen af hændelsen er foregået efter bogen, og jeg synes, at borgerne kan være trygge. Man kan sige, at når de ikke hører noget, så er det fordi, tingene bare kører, siger Martin Sort Mikkelsen, chef for Økonomi og Personaleforvaltningen i Hjørring Kommune.

Kan du garantere, at det her ikke ske igen?

- Jeg kan garantere, at det ikke sker med det her system igen. Jeg kan ikke garantere, at noget tilsvarende kan ske med et andet system. Det er noget, alle er meget opmærksomme på, men det vil være uklogt at sige, at det her aldrig kommer til at ske igen med et system, det kan jeg ikke.

 
 
Foto: Jesper Lange

Selvom kommunen mener, at sagen er håndteret korrekt, så er Claus Hildebrandt ikke enig. Han mener, at der burde være en form for erstatning til de borgere, det drejer sig om.

Derfor har han i dag taget kontakt til en advokat, og han overvejer nu, om han vil gå videre med sagen, for han føler sig ikke tryg ved at vide, at hans CPR-nummer ikke har været ordentligt beskyttet.

- Det er bare ikke godt nok. Det her kommer jeg jo til at gå med i baghovedet resten af mine dage, indtil jeg får låg på, siger han.

74 kommuner berørt af sikkerhedsbrist

KMD oplyser i en mail til TV2 Nord, at i alt 74 kommuner har været berørt af fejlopsætningen. KMD estimerer, at der i perioden, siden opsætningen har eksisteret, er sendt cirka 25.000 boliglån-mails. Det svarer dog ikke nødvendigvis til antallet af berørte borgere.

- Jeg kan bekræfte, at vi har haft en fejlopsætning i eAnsøgning til KMD Boliglån, der omhandler ansøgninger, der er foretaget via borger.dk. Fejlopsætningen har bestået i, at den automatisk generede mail fra borgernes ansøgning, der er tilgået den relevante kommune, ikke har været afsendt krypteret. Det skulle den have været, da mailen indeholdt et CPR-nummer, skriver Christoffer Hellmann, kommunikationschef hos KMD, i mailen til TV2 Nord.

 
 
Foto: Jesper Lange

KMD understreger, at der ikke har været andre personhenførbare oplysninger i mailen, herunder borgerens navn eller adresse. KMD er heller ikke bekendt med, at de ikke-krypterede oplysninger er blevet set eller anvendt af personer uden kommunal autorisation.

KMD har nu opdateret sit system og sikret, at mails fremover sendes krypteret. De har samtidig sat gang i et internt arbejde for at sikre, at den samme situation ikke opstår igen, ligesom de har været i dialog med de kommuner, der har været berørt af situationen.

- KMD beklager den konstaterede fejlopsætning, og det ligger os på sinde at understrege, at KMD tager sagen alvorligt, og sikkerhed har en høj prioritet for os, skriver Christoffer Hellmann.

Mere om historien:

Sagen er anmeldt til Datatilsynet. Da den nye persondatalov trådte i kraft den 25. maj 2018 blev det lovpligtigt for kommunerne at melde sager som disse til Datatilsynet. Tidligere var det ikke en pligt, men blev anset som god forvaltningsskik. I dag skal det anmeldes inden for 72 timer. Det betyder, at Datatilsynet har haft ekstra travlt i år. De vurderer, at de har haft 5000 sager om sikkerhedsbrister af større og mindre grad. Tilsynet er på to år vokset fra 35 ansatte til 60 ansatte, fordi der er så meget at lave for tiden.

 

Hjørring Kommune er blevet kontaktet af 25 borgere indtil videre, som har modtaget brevet, og som gerne vil vide mere om deres situation. Kommunen har i den forbindelse forklaret, hvad der er sket, og at der ikke er noget, der tyder på, at CPR-numrene er blevet opsnappet. Derudover har de givet gode råd til datasikkerhed, og hvad man skal være opmærksom på, hvis man er i tvivl om ens oplysninger bliver misbrugt.

 

Claus Hildebrandt har haft kontakt til en advokat for at høre, om han har mulighed for at søge om erstatning for sikkerhedsbristen. Han har fået at vide, at hvis de er flere, der går sammen, så kan de sagsøge kommunen. Derfor er han nu i gang med at få kontakt til flere, det er gået ud over.


Seneste nyt

fra Nordjylland