Politisjusk med persondata: Glemte dokumenter i S-tog og knyttede borger til 876 sager

Dansk politi anmeldte sidste år 100 brud på persondatasikkerheden til Datatilsynet.

Scanpix. (Foto: Mads Claus Rasmussen © Scanpix)

100 gange anmeldte dansk politi sig selv til Datatilsynet i 2019 for at have brudt persondatasikkerheden og håndteret danskeres personoplysninger i strid i reglerne.

Det viser DR Nyheders gennemgang af de anmeldelser, som landets politikredse og Rigspolitiet indsendte til Datatilsynet sidste år, og opgørelsen viser, at det især er våbentilladelser og bøder, som politikredsene har haft problemer med.

Ud af de 100 sager handler 27 af anmeldelserne om våbentilladelser, der enten er sendt til den forkerte borger eller aldrig er nået frem. Og i 10 sager er bøder sendt til de forkerte eller forsvundet i posten.

Dermed har politiet uberettiget videregivet navne, adresser, cpr-numre og andre personfølsomme oplysninger til uvedkommende, og det skal med den nye databeskyttelsesforordning fra maj 2018 anmeldes til Datatilsynet, som fører tilsyn med, om myndighederne overholder reglerne om databeskyttelse.

Hanne Marie Motzfeldt, lektor i digital forvaltning ved Københavns Universitet, kalder sagerne karakteristiske for de fejl, man normalt ser i den offentlige forvaltning.

- Langt de fleste sikkerhedsbrud er menneskelige fejl, og det er klart, at man skal arbejde på at forhindre det, og det gør man ved mere uddannelse og ved at implementere procedurer. Men det er en kæmpe kulturændring, som det offentlige skal igennem, siger hun.

Rigspolitiets databeskyttelsesrådgiver, Christian Wiese Svanberg, siger, at hele området tages meget alvorligt af Rigspolitiet, som løbende uddanner medarbejdere, så også menneskelige fejl reduceres.

- Der vil nok altid ske menneskelige og it-mæssige fejl. Vores opgave og ansvar er at holde øje med, om det er på et acceptabelt niveau. Vi kan ikke give nogen garantier om, at breve ikke fejlleveres, men vi har medarbejdernes fokus på det, og vi bruger mange kræfter på at uddanne folk og informere de medarbejdere, som er i berøring med personoplysninger, siger han og oplyser, at man f.eks. på de 530.000 fartbøder, som årligt udsendes, har en fejlrate på 0,271 procent af sagerne.

Blandt de 100 sager, som politiet anmeldte sidste år, er også en række konkrete sager, som skiller sig ud:

Glemte afhøringsrapport i S-tog:

Arkivfoto. (Foto: Jens nøRgaard Larsen © Scanpix)

En ansat ved Københavns Politi glemte i et S-tog på vej til arbejde en afhøringsrapport af en sigtet/tiltalt person. Rapporten indeholdt personoplysninger på seks personer – herunder vidner og afhørte i sagen.

To togrevisorer fandt dokumenterne, som lå i en mulepose, der blev indleveret til hittegodskontoret, og få timer senere rettede den ansatte henvendelse og fik dokumenterne tilbage. Der var ikke tegn på, at dokumenterne havde været åbnet eller læst af uvedkommende.

Københavns Politi indskærpede overfor medarbejderen samt en bredere kreds af ansatte, hvordan straffesagsakter med personoplysninger skal håndteres.

Fejlregistrerede borgere på 876 sager

Arkivfoto. (Foto: Steve Marcus © Scanpix)

To borgere blev ved en fejl tilknyttet et stort antal sager i politiets sagsstyringssystem, Polsas. Ifølge Nordsjællands Politi var det en menneskelig fejl i forbindelse med en opdatering, der betød, at en borger pludselig var tilknyttet 876 sager, mens en anden borger blev registreret på 255 sager, selv om ingen af de to personer var parter i nogle af sagerne.

De to borgeres personoplysninger er efterfølgende blevet slettet fra de mange sager, og Rigspolitiet har siden sommeren 2019 haft en længere dialog med Datatilsynet om, hvordan man fremover undgår, at fejlregistreringer som denne sker igen.

152 pas sendt til de forkerte

Arkivfoto (Foto: claus fisker © Scanpix)

Rigspolitiets pasproducent, Gemalto, sendte ved en fejl 152 pas til de forkerte modtagere, og det skete ifølge Gemalto på grund af et printstop hos virksomheden, hvorved passene blev fremsendt til de forkerte adresser. Personoplysninger blev derved uberettiget videregivet.

Rigspolitiet tog herefter kontakt til de berørte kommuner, som efterfølgende fik indleveret de 152 pas, som var havnet hos de forkerte personer.

Sigtet og tiltalt ved en fejl

Arkivfoto (Foto: Jens nøRgaard Larsen © Scanpix)

En polititjenestemand ved Sydøstjyllands Politi indtastede i forbindelse med en straffesag det forkerte cpr-nummer i politiets sagsstyringssystem, Polsas, og den fejlagtige registrering blev først opdaget, efter at anklagemyndigheden havde rejst tiltale og sendt sagen i retten.

Sagen blev siden tilbagekaldt, og fejlregistreringen er efterfølgende blevet slettet fra Polsas og Kriminalregistret.

Tabte lommebog med hemmelige numre

Arkivfoto (Foto: KELD NAVNTOFT © Scanpix)

Under en anholdelsesaktion tabte en politiassistent ved Østjyllands Politi en lommebog, som indeholdt navne, cpr-numre og hemmelige telefonnumre, som kun politiet har adgang til via den særlige 118-database. Lommebogen blev efterfølgende indleveret til Østjyllands Politi af en borger.

Der var tale om personoplysninger på samlet set 17 personer, og flere af dem blev efterfølgende underrettet i det omfang, hvor man vurderede, at der var en potentiel risiko for misbrug af de berørtes identitetsoplysninger.

Straffeattest blæste væk

Arkivfoto (Foto: Jakob boserup © Scanpix)

I forbindelse med en retssag ved Retten i Nykøbing-Falster mistede en medarbejder ved anklagemyndigheden forsiden til den tiltaltes straffeattest.

Det skete på rettens parkeringsplads, hvor medarbejderen i et kort øjeblik stillede sagsakterne fra sig, da en vind pludselig blæste flere akter væk. Medarbejderen troede, at hun havde samlet dem alle ind igen, men senere viste det sig, at forsiden var blæst væk.

Forsiden indeholdt cpr-nummer, navn og oplysninger om tidligere afgørelse fra Kriminalregistret, og det fremgår af anmeldelsen til Datatilsynet, at bruddet vurderes at indebære en "høj risiko for den berørte fysiske persons rettigheder."

I anmeldelsen bemærkes det endvidere, at tabet af fortrolighed omkring oplysningerne vil kunne føre til misbrug såsom identitetstyveri.