Tema Cpr-hul

Datatilsynet efter cpr-hul: Ansvaret ligger hos kommunerne

I 12 år har der været et cpr-hul i den digitale pladsanvisning. Nu afventer Datatilsynet en redegørelse.

Da Esben Warming Pedersen skulle skrive sin søn op til institution på Frederiksberg, opdagede han et cpr-hul i den digitale pladsanvisning.

Det er kommunerne, der har ansvaret for at passe godt på vores cpr-numre.

Det budskab kommer fra Datatilsynet, efter at en borger har fundet et sikkerhedshul i den digitale pladsanvisning, som it-firmaet KMD leverer til over 80 kommuner.

- Det er kommunernes ansvar at passe på deres borgeres oplysninger, og det er det også, selvom de vælger at bruge nogle andre til at drifte deres system, siger Jesper Vang, konstitueret kontorchef i Datatilsynet.

Det er kommunernes ansvar at passe på deres borgeres oplysninger

Jesper Vang, Datatilsynet

Datatilsynet er den myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes.

Sikkerhedshullet har betydet, at folk, efter login med nemid i den digitale pladsanvisning, har kunnet søge på tilfældige cpr-numre i et lille søgefelt og få navne på borgere ud af den digitale pladsanvisning.

Ifølge KMD har der været et hul i systemet i 12 år, som i værste fald har betydet, at it-kyndige har kunnet sætte en lille "regnemaskine" ind i koden bag søgefeltet og trække cpr-numre ud på rigtig mange mennesker.

Om hullet er blevet misbrugt, undersøger KMD i øjeblikket.

It-konsulent Esben Warming Pedersen gjorde Frederiksberg Kommune opmærksom på sikkerhedsbrist i den digitale pladsanvisning. Nu har it-firmaet KMD meldt ham til politiet.

Overtrådt loven?

Datatilsynet skal nu undersøge, om de dataansvarlige, der her er kommunerne, har overtrådt persondataloven paragraf 41, stk. 3 i forbindelse med cpr-hullet.

I loven står der blandt andet, at de dataansvarlige skal sikre, at uvedkommende ikke får kendskab til oplysningerne, og det er dette spørgsmål, der er på spil i denne sag, hvor folk har haft mulighed for at verificere cpr-numre.

Persondataloven

Persondataloven gælder for behandling af personoplysninger, der sker elektronisk eller i et register.

Paragraf 41, stk. 3 lyder:

Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

- Det er altid alvorligt, når folks oplysninger bliver kompromitteret, og der er andre, der har mulighed for at tilgå dem, siger Jesper Vang fra Datatilsynet og tilføjer:

- Der har været nogle uheldige sager, hvor folk med et cpr-nummer har kunnet bestille pas i andres navn og bestille varer i andres navn, så det er nok især det, der får folk op på dupperne i den her sag.

I første omgang venter Datatilsynet på en redegørelse fra KMD over forløbet.

- Hvis vi ikke synes, at den er fyldestgørende, så kan det være, at det giver os anledning til at kontakte myndighederne for en supplerende udtalelse, siger Jesper Vang.

I dette tilfælde vil det være Frederiksberg Kommune, som Datatilsynet vil gå til.

Det var nemlig en it-kyndig borger på Frederiksberg, Esben Warming Pedersen, der stødte ind i problemet, da han skulle skrive sin søn op til en institutionsplads. Derefter gjorde han kommunen opmærksom på det.

Kommunen gik videre til KMD med problemet, og KMD har nu lukket hullet.

Samtidig har KMD politianmeldt Esben Warming Pedersen, der er ansat i en anden it-virksomhed, fordi KMD mener, at manden har hacket systemet. Selv siger Esben Warming Pedersen, at han testede, hvor stort hullet var, så han vidste, hvad han skulle sige til kommunen.

Kan ende med kritik - ikke bøde

Ifølge Datatilsynet kan sagen ende med en kritik af kommunerne.

- Som reglerne er skruet sammen i dag, er der ikke mulighed for, at man kan pålægge myndigheder bøder i form af overtrædelser af persondataloven, lyder det fra Jesper Vang fra Datatilsynet.

Han tilføjer dog, at de fleste myndigheder plejer at rette ind, når Datatilsynet udtaler kritik.

Til maj næste år vil nye EU-regler træde i kraft på området, og de kan måske betyde, at myndigheder fremover vil kunne få en bøde for overtrædelse af reglerne.

- Man skal fra politisk hold have fundet ud af, om man ønsker, at offentlige myndigheder skal kunne straffes. Det kan de ikke i dag, siger Jesper Vang.

Kommunerne anerkender ansvar

Hos Kommunernes Landsforening anerkender kontorchef Pia Færch, at det er kommunerne, som skal sikre, at der bliver passet godt på borgernes personlige oplysninger.

- Det er kommunerne, der har ansvaret for de data, som kommunerne bruger i deres sagsbehandling, siger hun.

Hun fortæller, at kommunerne som oftest laver kontrakter med leverandører af it-systemer som for eksempel KMD, der leverer den digitale pladsanvisning til over 80 kommuner.

- Når kommunerne gør det, laver de også en aftale med leverandøren om, hvordan data skal behandles, og det skal jo sikre, at leverandøren også lever op til de regler, der er for, hvordan regler skal håndteres, siger Pia Færch fra KL.

Der er stor opmærksomhed i alle kommuner på at sikre, at sikkerheden er i orden, lyder det fra KL, der også siger, at kommunerne skal gå videre til en leverandør, hvis de bliver opmærksomme på sikkerhedshuller i it-systemer.

- Man skal selvfølgelig gå videre, hvis man får en henvendelse om sikkerhedsproblemer med en løsning – så skal man selvfølgelig reagere, siger hun.

SÅDAN HAR FEJLEN VIST SIG

  • En borger har logget ind på Digital Pladsanvisning med nemid.
  • Hvis han satte hak under samlever-feltet, er en cpr-søgemaskine dukket op.
  • Her har borgeren kunnet indtaste tilfældige cpr-numre, og så har systemet vist navnet på den, cpr-nummeret tilhører.
  • Dermed har systemet ikke begrænset søgningen til kun at vise navne på den person, der er registreret på borgerens adresse.
  • Hullet kan have betydet, at folk med it-kompetencer har kunnet sætte en lille kode ind i feltet og i princippet trække navngivne cpr-numre ud på hele Danmarks befolkning.