Menneskelig fejl skyld i læk af 50.000 filer om sjællandske borgere

Sag fra Kalundborg bør få myndigheder til at tjekke deres brug af en særlig form for server, mener Datatilsynet.

Personfølsomme oplysninger var ikke krypteret, da de blev placeret på en såkaldt FTP-server i Kalundborg Kommune. (Foto: stckxng)

En læk har betydet, at 50.000 filer med tusindvis af personfølsomme oplysninger om Kalundborgs borgere ikke har været sikret tilstrækkeligt.

Filerne indeholder ifølge Børsen informationer om borgeres CPR-numre, lønoplysninger og administratorkoder til it-systemer i Kalundborg Kommune. Men af filerne fremgår også flere tusinde navne på borgere, der modtager kontanthjælp, integrationsydelse og uddannelseshjælp i kommunen.

Kommunaldirektør i Kalundborg Kommune Jan Lysgaard Thomsen tog straks affære, da en journalist fra Børsen kontaktede kommunen om sagen. Og nu er informationerne sikret igen.

- Der er ved en menneskelig fejl blevet placeret noget ikke-krypteret data på denne server. Og det er selvfølgelig en sag, vi ser på med stor alvor på, siger kommunaldirektøren.

De foreløbige undersøgelser viser, at det kun er journalisten fra Børsen, der har haft adgang til filerne, der lå på en såkaldt FTP-server, som eksempelvis bruges til at overføre filer mellem computere.

- Der er ikke tale om data, der flyder frit på nettet, forklarer Jan Lysgaard Thomsen.

Hvis man for eksempelvis søger aktindsigt i en bestemt sag, skal informationerne hentes på denne server med et brugernavn og en adgangskode, man får udleveret til de specifikke informationer.

Datatilsynet: I den alvorlige ende

Kalundborg Kommune kontaktede også straks Datatilsynet, som nu skal se nærmere på, hvad der er sket. Her har Kontorchef Jesper Husmer Vang endnu ikke fået kommunens redegørelse. Men han siger:

- Hvis, der har ligget ukrypterede oplysninger af følsom karakter, er det selvfølgelig i den alvorlige ende.

Hvor Datatilsynet normalt er dem, der tager kontakten, var det i går lidt omvendt, fortæller han.

- Kommunen kom os i forkøbet, og de har standset ulykken.

Datatilsynet afventer nu en redegørelse om, hvad der præcist er sket, og hvad kommunen vil gøre fremadrettet, for at det ikke sker igen.

- Så må vi se, om det giver anledning til yderligere spørgsmål eller tiltag.

Kontorchefen i Datatilsynet har ikke oplevet lignende sager før, hvor oplysninger på en FTP-server ikke har været krypterede:

- Det er første gang jeg er stødt på en sag, hvor det her har været et problem.

Han mener derfor, det er vigtigt, at kommuner og andre myndigheder, der benytter den slags servere nu får fokus på risikoen for, at følsomme oplysninger kan komme i forkerte hænder ved opdateringer, hvis de ikke er kryptererede.

- På den måde er det held i uheld. Nu kommer der noget fokus på det, siger han.

Borgere kan risikere identitetstyveri

For sker det igen, kan det have store konsekvenser for borgerne, fortæller Peter Blume, professor i persondataret ved Københavns Universitet.

- Der er jo mulighed for at bruge oplysningerne til noget, borgerne ikke bryder sig om. For eksempel identitetstyveri, så man bestiller varer på borgernes vegne og lignende.

Men vi kan som borgere ikke gøre så meget andet end at stole på kommunen og myndighederne, forklarer han.

- Vi er i det offentliges vold. Man kan klage til Datatilsynet og i nogle tilfælde gå til politiet. Men generelt set kan borgerne ikke rigtig gøre noget ved det.

Hvad er en FTP server?

  • FTP er en forkortelse for File Transfer Protocol.
  • Med FTP kan man overføre filer mellem computere på et netværk eller en server.
  • Du kan også bruge FTP til at udveksle filer mellem konti eller få adgang til online-software arkiver.

    Kilde: foscam.dk

KONTAKT REDAKTIONEN

Skriv til os på sjaelland@dr.dk. Du kan vedhæfte billeder, dokumenter eller videofiler, som du gerne vil dele med os.

Det er ikke sikkert, at DR bruger dit materiale. Det vurderer redaktionen. Når du sender materiale til os, kan DR frit offentliggøre og bruge dit indhold overalt i DR’s medier. Du vil blive krediteret.