Annonce
Aarhus

Kæmpe læk af personnumre i Aarhus: Lange lister med fortrolige cpr-numre lå på kommunal hjemmeside

Aarhus Kommune har haft navne, adresser og personnumre på formentlig flere tusinde borgere liggende frit fremme i sit digitale byggesagsregister, der er åbent for alle på nettet, viser avisens research. Adgangen til registeret er nu lukket, og kommunens brud på persondatasikkerheden er meldt til Datatilsynet

AARHUS: Mod alle regler har Aarhus Kommune lagt formentlig adskillige tusinde af sine borgeres navne, adresser og personnumre ud frit tilgængelige på nettet.

Det er sket i kommunens digitale byggesagsregister – minejendom.aarhus.dk – der indeholder oplysninger om samtlige ejendomme i Aarhus Kommune – og som alle kan søge i.

Avisen har lavet et mindre stikprøvetjek i det store arkiv og har i 15 byggesager fundet navne, adresser og personnumre på tilsammen omkring 250 borgere. De optræder på lister over, hvem der skal høres i de pågældende byggesager, hvor naboen for eksempel ønsker at bygge en etage ekstra på sit hus, lave en tagterrasse eller bygge et helt nyt hus.

Annonce

Fra Egå til Nørre Allé

I langt de fleste sager er listerne med høringsberettigede holdt fortrolige og slet ikke digitaliseret og lagt på nettet, men i en række byggesager fra de seneste år ligger de personfølsomme oplysninger frit tilgængelige for alle og enhver.

Indtil tirsdag troede vi, at vi havde et 100 procent sikkert system. Det har vi så ikke. Derfor har vi lukket for adgangen til det digitale byggesagsarkiv. Vores It-folk arbejder på højtryk for at finde en sikker løsning, og vi åbner ikke, før den er fundet

Ann Hamborg, Chef for Byggeri, Aarhus Kommune

Avisen har langt fra været hele kommunen rundt men har fundet lister med personnumre i byggesager fra Skødstrup, Egå, Risskov, Midtbyen og Frederiksbjerg.

Den korteste liste – fra Egå – indeholder kun oplysninger om en enkelt person. Den længste – fra en byggesag i Nørre Allé – er et excel-ark med navne, adresser og personnumre på 86 borgere.

Annonce

Troede systemet var helt sikkert

Tirsdag eftermiddag orienterede avisen Aarhus Kommune om de mange brud på persondata-sikkerheden på minejendom.aarhus.dk, og sitet blev straks lukket.

Borgere, der prøver at komme ind i kommunens digitale byggesagsarkiv, minejendom.aarhus.dk, bliver mødt med denne besked. Sitet er lukket, mens kommunen renser det for de mange personnumre, der i strid med persondatareglerne har ligget der til frit skue.-

- Indtil tirsdag troede vi, at vi havde et 100 procent sikkert system. Det har vi så ikke. Derfor har vi lukket for adgangen til det digitale byggesagsarkiv. Vores It-folk arbejder på højtryk for at finde en sikker løsning, og vi åbner ikke, før den er fundet, siger Ann Hamborg, der er afdelingschef for Byggeri i Aarhus Kommune, som byggesagsarkivet hører under.

Og hun fortsætter:

- Vi ved endnu ikke, hvordan vi skal gå alle byggesagerne igennem for at sikre os, at de ikke indeholder personfølsomme oplysninger som personnumre. Jeg kan godt frygte, at vi står med et stort problem.

Annonce

Ikke spor hemmelige adresser

Ifølge Ann Hamborg har kommunen et system, der scanner dokumenter for personnumre netop for at undgå, at de bliver lagt på nettet.

- Men det har tydeligvis ikke fungeret godt nok. Vi kan kun beklage, at vi har brudt persondatasikkerheden. Det må ikke ske, siger hun.

Procedure for høringslister

Under fanebladet "Vigtige oplysninger" på de Excell-ark med personfølsomme oplysninger, som kommunen i en række tilfælde har lagt ud i det digitale byggesagsarkiv, fremgår det ret klart, at oplysningerne er fortrolige: Her står der:

"Procedure ved anvendelse at høringslister

Du har dannet en liste med fortrolige personoplysninger og skal være opmærksom på følgende:

- Husk at du efter forvaltningslovens § 27 og Straffelovens § 152 som offentligt ansat er underlagt tavshedspligt, hvilket gælder ved både videregivelse internt og eksternt

- Oplysningerne må kun benyttes til den konkrete sag

- Listen må ikke sendes ud af huset

- Sender du listen internt, skal du altid sørge for at slette mailen bagefter, så du ikke har en kopi liggende

Du skal huske:

- Høringsliste skal gemmes i de relevante fagsystemer eller kommunens journaliseringssystem.

- Personoplysninger skal opbevares på en sådan måde at det ikke er muligt at identificere de registrerede i længere tidsrum end det, der er nødvendig til de formål, hvortil de pågældende personoplysninger behandles."

Avisen har udover personnumrene også fundet eksempler på, at det digitale byggesagsregister indeholder adresseoplysninger på folk, der har adressebeskyttelse. Det er ovenikøbet markeret, hvem der har adressebeskyttelse.

- Ja vi bryder fortroligheden med de hemmelige adresser. Også der har vi et problem, siger Ann Hamborg, der ikke har noget bud på, hvornår kommunen igen kan åbne for adgangen til det digitale byggeregister.

Kommunen har – som den skal – allerede orienteret Datatilsynet om, at den har brudt persondatasikkerheden.

Annonce

Personnummer-læk kan koste stor bøde

Poul Erik Weidick, It-sikkerhedskonsulent i Datatilsynet, kan ikke udtale sig om den konkrete sag men siger:

- En sag, hvor flere tusinde personnumre har ligget offentligt tilgængelige, vil vi gå ind og behandle nærmere, og vi vil vurdere om den skal udløse en sanktion. Vi betragter det som et brud på persondatasikkerheden, hvis personnumre ligger åbent fremme.

Datatilsynet behandler omkring 250 sagen om brud på persondatasikkerheden om ugen. Nogle er større andre mindre.

- I første omgang handler det om at få stoppet bruddet, derefter går vi ind og ser, om der er grundlag for en sag, der kan ende med, at vi udtaler kritik, alvorlig kritik eller indgiver en politianmeldelse med henblik på en bøde, siger Poul Erik Weidick.

Datatilsynet har, siden GDPR-reglerne blev indført i 2018, fået en række kommuner, flere regioner og private virksomheder idømt bøder for at overtræde databeskyttelsesreglerne – GPDR. Bødestørrelserne svinger fra 50.000 kr. til 1,5 mio. kr.

Annonce

"Det er noget svineri"

Avisen har talt med nogle af de borgere, hvis personnumre har ligget og flydt på den kommunale hjemmeside. Nogle er rasende. Andre trækker på skulderen og siger pyt.

Vi får jo alle steder tudet ørene fulde med, at vi skal overholde persondatalovgivningen, og så skriger det da til himmelen, at kommunen ikke kan finde ud af at overholde GPDR-reglerne. Hvis ikke den straks går i gang med at fjerne adgangen til mit og andres personnumre, vil jeg overveje en politianmeldelse.

Peter Iversen, borger hvis personnummer optræder i byggesagsarkivet

Peter Iversen fra Egå tilhører den første kategori:

- Det er noget svineri. Det er da bekymrende, at kommunen ikke har styr på datasikkerheden og åbner for, at andre kan svindle med ens identitet, siger han og fortsætter:

- Vi får jo alle steder tudet ørene fulde med, at vi skal overholde persondatalovgivningen, og så skriger det da til himmelen, at kommunen ikke kan finde ud af at overholde GPDR-reglerne. Hvis ikke den straks går i gang med at fjerne adgangen til mit og andres personnumre, vil jeg overveje en politianmeldelse.

Annette Møller Hannibal fra Risskov, der er advokat, er mere afdæmpet, da avisen fortæller hende, at hendes personnummer ligger frit fremme på den kommunale hjemmeside:

- Det er skræmmende, men det er jo desværre den slags, man jævnligt hører om. Der vist kun at sige, at kommunen skal se at få lukket det hul med det samme, siger hun.

Annonce

Ubekymret nattesøvn

Tidligere ejendomsmægler Hans Vestergaard er en anden Risskov-borger, der har kunnet slå op i det digitale byggesagsregister, hvis han skulle have glemt sit personnummer.

- Det må være en fejl. Jeg håber, at kommunen får lukket ned for adgangen til personnumrene, men jeg tvivler nu på, at det er særlig risikabelt, hvis ens personnummer havner i de forkerte hænder, siger Hans Vestergaard.

En borger, der står på listen over høringsberettigede i en byggesag fra Midtbyen og som ikke ønsker sit navn i avisen, siger:

- Det forstyrrer ikke min nattesøvn, at mit personnummer har ligget tilgængeligt på nettet. Jeg tror ikke, at personnumre er så hemmelige, som vi går og tror. Hvis nogen sætter sig for, at de vil have fat i mit personnummer, tror jeg også at de kan skaffe det, så jeg er ikke frygtelig forarget over, at kommunen har haft mit personnummer liggende på nettet.

Annonce

Risiko for identitetstyveri

Måske burde det forstyrre nattesøvnen. Ifølge formanden for Rådet for Digital Sikkerhed, Henning Mortensen, er det nemlig ikke risikofrit at have sit personnummer liggende frit fremme på nettet.

Identitetstyveri

Det er identitetstyveri, når personlige oplysninger bliver stjålet og/eller misbrugt.

Identitetstyveri dækker altså både over, at nogen ulovligt tilegner sig en andens oplysninger, og at nogen misbruger disse oplysninger til fx at optage lån, købe ting eller chikanere på forskellig måde. De personlige oplysninger kan fx være CPR-nummer, adgangskoder, sundhedsoplysninger eller andre følsomme persondata.

- Navn og adresse er ikke personfølsomme oplysninger. Det er derimod personnumre. Har du navn, adresse og personnummer, kan du jo stjæle en andens identitet, siger Henning Mortensen og fortsætter:

- Heldigvis er vi blevet mere opmærksomme på identitetstyveri, og derfor kræver det ofte også mere end navn, adresse og personnummer at stjæle en andens identitet, men det udgør bestemt en risiko, hvis personnumre ligger offentligt tilgængelige på nettet.

Annonce

Jo flere oplysninger, jo værre er det

Hos Datatilsynet mener it-sikkerhedskonsulent Poul Erik Weidick heller ikke, at man skal undervurdere risikoen for identitetstyveri.

-I nogle tilfælde kræver det blot navn, adresse og telefonnummer. Har man så også personnummer, hjælper det ekstra til, hvis man for eksempel vil låne penge i en andens navn. Jo flere oplysninger, andre har om en, jo værre er det, siger han og fortsætter:

- Vi er i dag nok vænnet til at være mere opmærksomme på identitetstyveri, men det sker desværre ofte, at nogen ikke er vågne nok og tror på, at man er den, man udgiver sig for, blot man oplyser navn og personnummer.

- Nem-Id er kommet til som et godt, ekstra forsvarsværk mod identitetstyveri, men det betyder ikke, at man så ikke længere behøver beskytte sit personnummer. Der er masser af situationer, hvor en kriminel alene med dit navn, adresse og personnummer kan misbruge din identitet for eksempel til at indgå handler og til at melde sig ind i blandt andet et fitnesscenter, siger Poul Erik Weidick.

Annonce
Erhverv For abonnenter

Sikkerhedsbrud hos Nets: Sven fik brev med nøglekort til en ukendt kvinde

Danmark

Fredagens coronatal: 4559 nye smittede og ny top i coronarelaterede dødsfald

Annonce
Annonce
Annonce
Byudvikling

Stor interesse for nyt byggeri på Katrinebjerg: Halvdelen af lejlighederne er allerede reserveret

Aarhus For abonnenter

Saltchefen havde over 100 mand i sving: Derfor var torsdag en af de rigtig bøvlede vinterdage

Aarhus

Coronapas: Ansatte skal have det - politikerne får anbefaling

Sport

For første gang: Skanderborg Aarhus-stjernefrø udtaget til EM-bruttotrup

Så nemt er det at købe ulovligt fyrværkeri på nettet: - Det kan rive både arme og ben af, hvis noget går galt

Erhverv For abonnenter

Trodser corona: Lars Larsens århusianske milliardkæde leverer endnu et rekordresultat

Navne

Ny Børn og Unge-chef sætter børnene først: - Vi skal ikke altid bare gøre det, vi plejer

Alarm 112

En gruppe håndværkere blev hverdagens helte: Kom politi og brandvæsen i forkøbet

Katrine er erfaren sygeplejerske og alenemor til tre: - I et eksternt vikarbureau tjener man det dobbelte i timen

Aarhus

Dagens corona-tal er godt nyt for Aarhus

Aarhus For abonnenter

Personalemangel presser plejen på nyt demensplejehjem: - Nogle gange er der flere vikarer end fastansatte

Alarm 112

Pludselig stod mistænkelig mand i kvindes lejlighed: Nu beder politiet folk være opmærksomme

Annonce