Boligfond beklager læk af følsomme persondata: En menneskelig fejl

Tre typer USB-sticks, som tilsammen indeholdt ca. 40 filer med følsomme personoplysninger, er lækket til 424 uvedkommende personer.

Der var formentlig tale om en menneskelig fejl, der gjorde, at Frederiksberg Boligfond d. 21. december sendte USB-nøgler med CPR-numre, sygesikringsbeviser, bilregistreringsattester og vielsesattester til uvedkommende modtagere.

Læs også: Boligfond politianmeldes for USB-læk

Det skriver boligfonden i en meddelelse (PDF) om sagen, hvor lejere i boligselskabet fik tilsendt lejekontrakter på USB-sticks med persondata i forbindelse med etablering af andelsboligforeninger:

»Nogle af lejekontrakterne på USB-sticksne indeholder desværre bilag, der ikke skulle ud. Da lejekontrakterne blev scannet, kom bilagene med. Det måtte ikke ske. Bilagene
skulle have været frasorteret. Og det er i disse bilag, at man i nogle tilfælde kan finde personfølsomme oplysninger,« siger Flemming Brank ifølge meddelelsen og uddyber:

»Vi kan lige nu oplyse, at meget tyder på, at der er tale om en menneskelig fejl.«

I alt er der ifølge fonden tale om 424 USB-sticks, der blev sendt ud til lejerne i tre ejendomme Den Sønderjyske By, Svalegården og Peter Bangs Hus.

Der var tale om tre typer USB-sticks, som tilsammen indeholdt ca. 40 filer med personfølsomme oplysninger, oplyser fonden.

»Vi har den holdning, at bare ét tilfælde er ét for meget, og derfor kan vi kun beklage over for de berørte lejere,« siger Flemming Brank.

Er anmeldt til Datatilsynet

Boligfonden har solgt de tre ejendomme og det var hos fondens administrationsselskab, PrivatBo, at miseren skete.

Datalækket er anmeldt til Datatilsynet lige som PrivatBo er ved at gøre klar til at informere lejerne i de tre ejendomme.

»Vi sender lejerne et brev, hvor vi forklarer, hvad der er sket, og så beder vi dem om at levere USB-sticksne tilbage. Lejerne kan henvende sig til PrivatBo eller deres ejendomskontor
efter juleferien,« siger Flemming Brank.

ABF, som er interesseorganisationen for private andelsboligforeninger, har oplyst til DR, at man vil anmelde boligfonden til politiet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Nielsen

.. som sandsynligvis er forårsaget af inkompetent og/eller doven ledelse.

Hvorfor er personfølsomme data arkiveret sammen med lejekontrakten?
Hvorfor anvender man personnr. som lejenr/kundenr, med dertil hørende risiko for læk af personfølsomme data?
Hvorfor er der ikke udført stikprøvekontrol på indhold af USB-nøglen inden udsendelse?
Foreligger der risikoanalyse? - Nok ikke!

Godt at vi har fået GDPR!
- Så har vi bare brug for et helt nyt personnummer-system med numre/koder til særlige formål, og som til enhver tid kan tilbagekaldes af indehaveren.

  • 9
  • 0
Kenn Nielsen

.. som sandsynligvis er forårsaget af inkompetent og/eller doven ledelse.


Sandsynligvis...For der padles baglæns:

»Vi har den holdning, at bare ét tilfælde er ét for meget, og derfor kan vi kun beklage over for de berørte lejere,« siger Flemming Brank.

Hvilket er en kontrast til :
Formanden for Frederiksberg Boligfond, Flemming Brank, er chokeret over lækket, men fonden har ikke planer om at indsamle nøglerne.

K

  • 7
  • 0
Niels Danielsen

Det kan der være masser af grunde til:
Administration af parkeringstilladelser på boligselskabets område
Administration af boligsikring - krav fra offentlig myndighed

Der er 100 tusinde vis. af firmaer, foreninger etc. i Danmark der har lignede problemer, og der er ikke altid økonomi til at implementere IT systemer der håndtere dette ordentligt. Derfor findes der masser af adhoc. systemer med indskannede dokumenter . (Pas, Sygesikrings beviser, kørekort, børnebeviser, straffeattester, vielsesattester.. etc).

Der bør implementeres et system hvor man kan logge på med Nem-ID og vælge hvilke data fra et offentligt register man vil dele med et givet CPR/CVR nummer.
Så genereres der en URL med en tilstrækkeligt lang unik nøgle, som så evt. kan sendes til modtageren i en usikker E-mail.
Modtageren skal så logge på med sine CPR/CVR nøgler for at kunne se det som URL’en referere til.
- URL’en kan ikke bruges af andre end modtageren.
- Afsenderen kan evt. afmelde URL’en.
- Kan bruges af fuldt integrerede IT systemer, samt Adhoc. Excel systemer.
- Systemet kan laves således at selv CPR/Nets ikke kender indholdet.

  • 2
  • 0
Log ind eller Opret konto for at kommentere