Annonce
Byudvikling

Tusindvis af lækkede CPR-numre og adresser: Kommune-medarbejdere skal stå skoleret

Det er i forbindelse med byggesager, at personfølsomme oplysninger har været tilgængelige på Aarhus Kommunens hjemmeside minejendom.dk. Siden blev lukket ned, da Århus Stiftstidende opdagede datalækket, og er fortsat lukket. Arkivfoto: Axel Schütt
Redegørelse viser, at mindst 4.543 CPR-numre har været tilgængelige på Aarhus Kommunes offentlige byggesagsarkiv. Fejlen er sket som følge af manglende risikovurderinger og et kritisabelt lavt sikkerhedsniveau i systemet.

AARHUS: En ny redegørelse viser, at mindst 4.543 CPR-numre har været tilgængelige i tre måneder på Aarhus Kommunes offentlige byggesagsarkiv. Fejlen er sket som følge af at Teknik og Miljø trodsede en risikovurdering, der klart advarede om, at der kunne forekomme uhensigtsmæssigheder i form af databrud.

"Det er stærkt kritisabelt", fastslår direktøren for Teknik og Miljø, Henrik Seiding, der nu indkalder ledere og medarbejdere, der har været invoveret i sagen, til tjenstlige samtaler.

Redegørelsen er udarbejdet af Teknik og Miljø, efter at Århus Stiftstidende 16. september kunne afsløre et kæmpe datalæk af navne, adresser og CPR-numre, der lå tilgængelige på kommunens hjemmeside, hvis man downloadede konkrete byggesager, hvor både bygherrers og høringsberettigede naboers navne og CPR-numre fremgik.

Annonce

To dage før avisen bragte afsløringen, havde avisen advaret kommunen om datalækket, hvorefter kommunen straks lukkede byggesagsarkivet MinEjendom ned.

Større brud på sikkerheden

Redegørelsen klarlægger nu omfanget af bruddet, hvor der er konstateret et større brud på persondatasikkerheden.

I perioden fra 21. juni 2021 til 14. september 2021 har der således ligget mindst 4.543 CPR-numre samt adresseoplysninger på 66 borgere med adressebeskyttelse offentligt tilgængelig på MinEjendom. Af disse er 375 CPR-numre og adresseoplysninger på fire personer med adressebeskyttelse blevet downloadet af uvedkommende.

Derudover har der været adgang til at downloade et stort antal enkeltdokumenter, hvoraf nogle formodes at kunne indeholde følsomme personoplysninger, herunder CPR-numre.

Århus Stiftstidende afslørede datalækket 16. september på stiften.dk og her fra omtalen 17. september i avisen.

Redegørelsen konkluderer, at bruddet er sket i forbindelse med et svigt i sikkerhedsforanstaltningerne i forbindelse med, at dokumenterne 21. juni 2021 overgik til en ny model for offentlig adgang på MinEjendom.

Endvidere var der i MinEjendom digitale filer på 105.000 byggesager med 2,9 millioner dokumenter, blandt disse Word og pdf-filer, som ikke var lukket for offentligheden i de nævnte tre måneder.

Annonce

Lukkede filer blev åbnet

Tidligere har alle 10 millioner filer i systemet været lukkede, med mindre de maskinelt eller manuelt var gennemgået og tjekket for personlige oplysninger. Standarden var altså, at dokumenterne var lukkede med mindre nogen åbnede op for dem.

21. juni blev der, ifølge redegørelsen fra Teknik og Miljø, truffet beslutning om, at en datamængde på omkring 3 millioner dokumenter i 105.000 digitale byggesager i arkivet skulle være åbne som standard.

Man baserede persondatasikkerheden på et program, som automatisk søgte på konkrete nøgleord i dokumenttitlerne, som kunne indikere, at et dokument indeholdt fortrolige oplysninger. Resten af filerne blev gjort tilgængelige. Kun 770.000 ud af de 2,9 millioner filer blev lukket.

Jeg vil gerne undskylde over for de berørte borgere. Vi har truffet beslutninger omkring MinEjendom uden tilstrækkelige risikovurderinger og med alt for stor letsindighed. Det må jeg bare beklage.

Henrik Seiding, direktør for Teknik og Miljø

Baggrunden for den beslutning var, at robotten, der gennemgik dokumenterne i detaljen, med henblik på at åbne dem, arbejdede langsomt, og at der derfor blev brugt ressourcer hos borgere og i byggesagsafdelingen i Teknik og Miljø på at få adgang til dokumenterne manuelt. Det har imidlertid vist sig, at arbejdsmetoden med søgeord og udtagning af særlige filer slet ikke var tilstrækkeligt for at sikre datasikkerheden, skriver Teknik og Miljø i en pressemeddelelse.

Annonce

Advarsel om databrud

Ifølge et notat i sagen, indførte Teknik og Miljø det nye system med åbne øjne, og selv om man var advaret om en latent sikkerhedsrisiko. Det skete for at lette afdelingen for et ressourcekrævende manuelt arbejde ved at skulle åbne byggesager manuelt. Meget er vundet når borgere og erhvervsvirksomheder selv kan tilgå dokumenter elektronisk, lød forklaringen i en risikovurdering af den nye model.

Det vurderes, at meget er vundet hos borgere, erhverv og internt ved at åbne alle sager, uagtet at der kan forekomme uhensigtsmæssigheder i form af databrud.

Referat af møde i Teknik og Miljø, 21. juni 2021

IT-service i Teknik og Miljø skriver i et referat af et møde 21. juni 2021, hvor beslutningen blev truffet, at der kan forekomme databrud i den nye og mere åbne model:

"Det vurderes, at meget er vundet hos borgere, erhverv og internt ved at åbne alle sager, uagtet at der kan forekomme uhensigtsmæssigheder i form af databrud."

Annonce

"Alvorligt og kritisabelt"

Den beslutning var kritisabel, mener direktør i Teknik og Miljø, Henrik Seiding:

- Det er uacceptabelt og alvorligt, at disse oplysninger har været offentligt tilgængelige. Jeg er meget ked af, at det har været tilfældet, og vil gerne undskylde over for de berørte borgere. Vi har truffet beslutninger omkring MinEjendom uden tilstrækkelige risikovurderinger og med alt for stor letsindighed. Det må jeg bare beklage, siger Henrik Seiding.

Som udløber af den indledende redegørelse, vil der den kommende tid blive foretaget yderligere undersøgelser af sagsforløbet og de retningslinjer, som Aarhus Kommune arbejder efter i forhold til IT-sikkerhed. En endelig redegørelse forventes at foreligge inden årets udgang.

Annonce

Tjenstlige samtaler

Sagen betyder således blandt andet, at der vil blive foretaget en række tjenstlige samtaler med de ledere og medarbejdere, som var med til at træffe beslutningerne omkring den kritisable åbning af systemet.

Samtalerne skal også klarlægge, hvordan man reagerede på 14 mindre datalæk i tiden frem mod maj 2021 i forhold til datasikkerheden i MinEjendom.

Datalæk i MinEjendom

I forbindelse med at Teknik og Miljø ønskede en højere grad af automatisering af aktindsigter i byggesager skete der brud på persondatasikkerheden i systemet MinEjendom.

Baggrunden er, at det i Teknik og Miljø er et stort og ressourcekrævende manuelt arbejde at give aktindsigt i byggesager og at man derfor ønskede at lette denne aktindsigt.

21. juni 2021 besluttede medarbejdere fra Byggeri og Digitalisering i Teknik og Miljø på et møde at åbne adgangen til alle byggesager, uagtet at der kunne forekomme uhensigtsmæssigheder i form af databrud.

Og da de indførte sikkerhedsforanstaltninger ikke slog til skete der et datalæk af personfølsomme oplysninger som CPR-numre.

 I perioden 14. juni 2021 til 14. september har det været muligt at downloade 1.337 såkaldte flettefiler i 982 byggesager med i alt 4.543 CPR-numre, hvoraf 66 borgere havde adressebeskyttelse.

Af MinEjendoms logningsystem kan det udledes, at 62 flettefiler er blevet downloadet i perioden. Af disse indeholder de 33 filer i alt 375 CPR-numre, heraf adresser på fire personer med adressebeskyttelse.

MinEjendom er endnu ikke genåbnet. Den konkrete sag giver anledning til en grundig risikovurdering af persondatasikkerheden i MinEjendom, inden en gradvis genåbning eventuelt kan ske.

Teknik og Miljø er i gang med at indkøbe et helt nyt system, der kan håndtere offentlighedens adgang til byggesager på en betrykkende måde. Det er forventningen, at det nye system kan sættes i drift 1. januar 2022.

Formanden for Rådet for Digital Sikkerhed, Henning Mortensen, har tidligere oplyst til avisen, at det ikke er risikofrit at have sit personnummer liggende frit fremme på nettet.

- Navn og adresse er ikke personfølsomme oplysninger. Det er derimod personnumre. Har du navn, adresse og personnummer, kan du jo stjæle en andens identitet, har Henning Mortensen tidligere forklaret.

Annonce
Byudvikling For abonnenter

Lokale politikere om forslag om svævebane og rullende fortov på Aarhus Ø: Fint med forskellige input, men ...

Aarhus

Følg med her: Få seneste nyt om trafik og politi

Danmark

Tirsdagens coronatal: 756 nye smittede - positivprocenten er den højeste i 10 uger

Annonce
Annonce
Annonce
AGF

AGF svarer på billetkritik: Det var rigtigt at sælge flere billetter end pladser

AGF For abonnenter

Bagkanten: Vi bliver nødt til at tale lidt om Frederik Brandhof

Sport

Anton, Magnus og Mads er på vej igennem et snævert nåleøje: - Mens vi står i det, kan det være svært at se, hvor stort det her egentlig er

Debat

Jeg har fået en fiks idé: Send stadion ud til motorvejen - med mindre Salling og Lind nedlægger veto

Aarhus

Gratis hvidvin, hummersuppe og torsk: Århusiansk fiskehandler begraver Østersøtorsken

Navne For abonnenter

Folketingspolitiker Camilla Fabricius fylder 50: - Magten, jeg har fået til del af århusianerne, er til låns. Den er vitterligt ikke min

Byudvikling

Nyt tårn i seks etager skal være vartegn for Viby: Borgere er bekymret for, om det er for højt

Aarhus

Følg med her: Få seneste nyt om trafik og politi

AGF

Peter er sæsonkortholder i AGF - men blev afvist i døren, da gratister havde fyldt stadion op

Bolig

Danmarks billigste 'herregård' til salg: Her har Christian IV overnattet

Erhverv

Aarhus er trækplaster for udenlandske IT-specialister: Ramon har taget turen fra Brasilien

Byudvikling For abonnenter

Video: Kom med indenfor i de dyreste lejligheder med panoramaudsigt i Nicolinehus på Aarhus Ø

Aarhus

- Når kommunen privatiserer en vej, får borgerne både en ekstra udgift og et dilemma, der ødelægger stemningen på vejen

Annonce