SILKEBORG: Der var ikke styr på sikkerheden, da Silkeborg Kommune sendte en mail med en vedhæftet fil, som indeholdt cpr-numre, skolenavn og skolekode for næsten 13.000 skoleelever, til Danmarks Statistik Consulting.
Det fastslår Datatilsynet, som udtaler alvorlig kritik af kommunen.
Sagen blev anmeldt til Datatilsynet af kommunen selv, som anførte, at der var sket en menneskelig fejl, hvor en medarbejder, der kendte til retningslinjerne for at sende emails sikkert, kom til at trykke på den forkerte knap.
Kommunen formodede, at mailen alligevel var blevet krypteret på det såkaldte transportlag, fordi kommunen havde implementeret TLS version 1.1, som er en anerkendt måde at kryptere datapakker, der sendes over det åbne netværk. Men man kunne ikke dokumentere det.
TLS er ikke nok
Generelt er kryptering på transportlaget ved hjælp af TLS ikke altid tilstrækkelig sikkerhed, når der sendes mange fortrolige og/eller følsomme personoplysninger, fastslår Datatilsynet. Desuden har TLS 1.1 kendte sikkerhedssvagheder, som gør, at det ikke kan anses som passende sikkerhed, fastslår Datatilsynet.
"Det er Datatilsynets vurdering, at en kommune, der behandler store mængder fortrolige og/eller følsomme personoplysninger om borgerne, skal sikre sig mod, at store datasæt sendes på en måde, hvor oplysningerne er læsbare også for en tredjemand, der modtager emailen ved en fejl," skriver tilsynet.
Derfor skal kommunen have rutiner, der sikrer, at den type mails krypteres på andre måder end med TLS på transportlaget, især når det er store mængder følsomme oplysninger, og når det vedrører børn, som er særligt beskyttet.
Læs afgørelsen her.
ak
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Nyts artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Nyts artikler med personer, der ikke selv har et personligt abonnement på DK Nyt
Afvigelse af ovenstående kræver skriftlig tilsagn fra DK Medier.