Redegørelse:
Datalæk skyldtes dårlige beslutninger

Kritisabelt lavt sikkerhedsniveau og manglende risikovurdering var skyld i læk af tusindvis af cpr-numre. Det fører til tjenstlige samtaler med beslutningstagere.
7. OKT 2021 13.20
Administration
IT
Teknik & Miljø

AARHUS: En indledende redegørelse fra Teknik og Miljø i Aarhus Kommune konkluderer, at et større brud på datasikkerheden i kommunens digitale byggesagsarkiv, MinEjendom, skyldes en "kritisabel" beslutning om at lade byggesager være åbne som standard. Det oplyser kommunen.

En robot skulle via søgeord sørge for, at dokumenter med fortrolige oplysninger forblev lukkede. Det har imidlertid vist sig, at metoden ikke var tilstrækkelig til at sikre datasikkerheden. Det har tidligere været fremme, at en del af forklaringen måske kan være, at ordet "fortrolig" har været stavet forkert, og dermed ikke er blevet fanget af robotten.

I en periode fra juni til september har mindst 4.543 cpr-numre og adresseoplysninger på 66 borgere med adressebeskyttelse ligget offentligt tilgængeligt på MinEjendom. Af disse er 375 cpr-numre og adresseoplysninger på fire personer med adressebeskyttelse kommet uvedkommende til kendskab.

Direktør i Teknik og Miljø Henrik Seiding kritiserer, at man alene baserede persondatasikkerheden på den pågældende robot. 

- Vi har truffet beslutninger omkring MinEjendom uden tilstrækkelige risikovurderinger og med alt for stor letsindighed. Det må jeg bare beklage, siger direktøren.

Yderligere undersøgelser undervejs

Som udløber af den indledende redegørelse vil der blive foretaget yderligere undersøgelser af sagsforløbet og de retningslinjer, som kommunen arbejder efter i forhold til it-sikkerhed. En endelig redegørelse forventes at foreligge inden årets udgang. 

Sagen betyder således blandt andet, at der vil blive foretaget en række tjenstlige samtaler med de personer, som var med til at træffe beslutningerne omkring den kritisable åbning af systemet. Samtalerne skal også klarlægge, hvordan man reagerede på 14 mindre datalæk i tiden frem mod maj 2021 i forhold til datasikkerheden i Minejendom.

Byggesagsarkivet har været lukket siden 14. september og skal undergå en grundig risikovurdering af persondatasikkerheden, inden en gradvis genåbning eventuelt kan ske. Teknik og Miljø er i gang med at indkøbe et nyt system, der kan håndtere offentlighedens adgang til byggesager på en betryggende måde. Det er forventningen, at det nye system kan sættes i drift 1. januar 2022.

sfe