Kommuner sløser med beskyttede adresser og andre følsomme oplysninger

På 15 måneder har kommuner indberettet flere end 3.300 sager, hvor personoplysninger har været i fare.

Fra april sidste år til september i år har kommunerne indberettet 3.345 brud på datasikkerheden, viser DR's aktindsigt. (© DR Grafik Nathalie Nystad)

Kommunerne lækker gang på gang borgernes personnumre, beskyttede adresser og andre følsomme oplysninger.

Det viser en aktindsigt, som DR har fået i indberetninger til Datatilsynet.

Fra april sidste år til september i år har kommunerne indberettet 3.345 brud på datasikkerheden, viser DR's aktindsigt.

I hovedparten af sagerne har kommunerne sendt oplysninger om borgere til forkerte modtagere, fortæller Eva Volfing, der er souschef i Datatilsynets kontor for informationssikkerhed.

- Offentlige myndigheder har et stort ansvar for at passe på borgernes oplysninger. Særligt fordi det ikke er valgfrit for borgerne, om myndighederne behandler deres oplysninger, som samtidig kan være meget beskyttelsesværdige, siger hun.

- Den øgede digitalisering kræver også, at sikkerheden følger med, så vi kan bevare den høje tillid til offentlige myndigheders behandling af vores personoplysninger.

Seks kommuner politianmeldt

Ved særligt alvorlige sikkerhedsbrister kan Datatilsynet politianmelde og indstille til bødestraf.

Fra april sidste år til september i år er seks kommuner blevet politianmeldt for ikke at have passet godt nok på borgernes oplysninger.

En af dem er Vejle Kommune, som er indstillet til en bøde på 200.000 kroner.

Det skyldes, at den kommunale tandpleje som fast praksis har sendt velkomstbreve til begge forældremyndighedsindehavere og i brevene oplyst adresser på begge forældre.

Dermed har tandplejen i flere tilfælde afsløret beskyttede adresser.

Tre kommuner er desuden blevet politianmeldt, efter de har fået stjålet computere. Computerne var ikke krypterede, og følsomme oplysninger om mange tusinde borgere er derfor faldet i de forkerte hænder.

- Generelt når vi skrider til politianmeldelse, er det, fordi vi ser overtrædelsen som et udtryk for manglende vilje eller for lemfældig omgang med personoplysninger, siger Eva Volfing fra Datatilsynet.

- For eksempel kan man relativt let gennemføre kryptering af bærbare computere, så hvis man har identificeret et behov for denne form for beskyttelse, men ikke implementerer det, er det en grovere overtrædelse af databeskyttelsesforordningen.

KL: Der kan ske menneskelige fejl

I Kommunernes interesseorganisation, KL, er den klare opfattelse, at kommunerne generelt passer godt på borgernes oplysninger.

- Der kan ske menneskelige fejl, og det er nogle af indberetningerne også udtryk for. Men der er også eksempler på fejl eller brud, som ikke burde forekomme. For eksempel bør computere med personfølsomme oplysninger være krypterede, siger Pia Færch, der er digitaliseringschef i KL.

Hun ser antallet af indberetninger fra kommunerne til Datatilsynet som et udtryk for, at kommunerne er gode til at melde fejl ind.

- Det er rigtig godt og sundt, for det betyder, at man som kommune kan lære af de fejl, der opstår, og styrke sit arbejde med datasikkerheden, siger Pia Færch.