Brød regler: Kommune sendte 13.000 skoleelevers cpr-numre ubeskyttede ud i en mail

En medarbejder »trykkede på den forkerte knap«, og således blev en mail indholdene personfølsomme oplysninger fra skolebørn i Silkeborg Kommune sendt uden kryptering.

Artiklens øverste billede
Silkeborg Kommune får kritik for behandling af skolebørns personoplysninger. Arkivfoto: Joachim Ladefoged

Datatilsynet retter i en ny afgørelse »alvorlig kritik« af Silkeborg Kommune for at sende 12.915 skoleelevers personnumre i en mail uden den fornødne sikkerhed.

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Silkeborg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne,« skriver Datatilsynet i sin afgørelse.

Bruddet på reglerne er sket i forbindelse med, at en medarbejder har sendt en mail til Danmarks Statistik med cpr-nummer, skolenavn og skolekode for 12.915 skoleelever. En sådan mail skal ifølge reglerne være krypteret for at undgå, at oplysningerne kommer i hænderne på uvedkommende.

Ifølge Silkeborg Kommune, der selv anmeldte hændelsen til Datatilsynet, er der tale om en menneskelig fejl. Kommunen har teknikken til at sende den slags emails krypteret. Men det skete ikke, da:

»En medarbejder – der kendte til retningslinjerne for at sende e-mails sikkert – kom til at sende e-mailen usikkert ved at trykke på den forkerte knap,« fremgår det i redegørelsen.

Anmeldelsen skete kort efter hændelsen. Den er anmeldt den 3. februar 2021.

Utilstrækkelig kryptering

Men ifølge Datatilsynet havde det endda ikke været sikkert nok, hvis kommunen havde brugt dens tilgængelige kryptering.

»Det er tilsynets opfattelse, at TLS 1.1 (krypteringsprotokol, red.), som på tidspunktet var implementeret i Silkeborg Kommune, på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget,« skriver tilsynet.

Skolechefen i Silkeborg Kommune, Thomas Born Smidt, udtaler til TV2 Østjylland, at episoden har givet anledning til at kigge på kommunens retningslinjer igen.

»Når man laver en fejl, skal vi sikre os, at vi får noget læring ud af det,« siger han til TV2 Østjylland og understreger, at kommunen fra august 2021 har indført en mere sikker mailkryptering.

JP Aarhus

Andre læser

Mest læste

Mest læste Finans

Giv adgang til en ven

Hver måned kan du give adgang til 5 låste artikler.
Du har givet 0 ud af 0 låste artikler.

Giv artiklen via:

Modtageren kan frit læse artiklen uden at logge ind.

Du kan ikke give flere artikler

Næste kalendermåned kan du give adgang til 5 nye artikler.

Teknisk fejl

Artiklen kunne ikke gives videre grundet en teknisk fejl.

Ingen internetforbindelse

Artiklen kunne ikke gives videre grundet manglende internetforbindelse.

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du give adgang til 5 låste artikler om måneden.

ALLEREDE ABONNENT?  LOG IND

Denne funktion kræver Digital+

Med et abonnement kan du lave din egen læseliste og læse artiklerne, når det passer dig.

Teknisk fejl

Artiklen kunne ikke tilføjes til læstelisten, grundet en teknisk fejl.

Forsøg igen senere.

Del artiklen
Relevant for andre?
Del artiklen på sociale medier.

Du kan ikke logge ind

Vi har i øjeblikket problemer med vores loginsystem, men vi har sørget for, at du har adgang til alt vores indhold, imens vi arbejder på sagen. Forsøg at logge ind igen senere. Vi beklager ulejligheden.

Du kan ikke logge ud

Vi har i øjeblikket problemer med vores loginsystem, og derfor kan vi ikke logge dig ud. Forsøg igen senere. Vi beklager ulejligheden.