Brud på datasikkerheden i Københavns Kommune: Ledere fik adgang til ansattes private oplysninger

Illustration: IndustryAndTravel/Bigstock
En fejl i et it-system har gjort, at personaleledere og deres stedfortrædere i en periode har haft adgang til private oplysninger om dem af deres ansatte, som også bor i Københavns Kommune.

Københavns Kommune oplyser, at kommunens ledere i en periode på lidt over to måneder har haft adgang til visse medarbejderes personalesager.

Det drejer sig specifikt om de medarbejdere, som er bosatte i Københavns Kommune. Ifølge kommunen er der blevet foretaget 206 opslag af 80 forskellige ledere, som har fået adgang til dokumenterne med de ansattes private borgeroplysninger.

I alt er 92 nuværende eller tidligere medarbejderes data blevet ulovligt tilgået, og 26 tredjeparter, som optræder i dokumenterne, er også berørte.

Københavns Kommune skriver, at man i den kommende tid vil indskærpe reglerne om datahåndtering over for alle medarbejdere og ledere.

Yderligere planlægger kommunen en ny kampagne om korrekt dokumenthåndtering og -opbevaring, som skal løbe i efteråret 2019.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

" Ifølge kommunen er der blevet foretaget 206 opslag af 80 forskellige ledere som har fået adgang til dokumenterne med de ansattes private borgeroplysninger."

Og angiveligt en del ulovligt. Hvad har disse ledere skullet med disse oplysninger? Og alligevel skal vi så høre på:

Københavns Kommune skriver, at man i den kommende tid vil indskærpe reglerne om datahåndtering overfor alle medarbejdere og ledere."

Altså ikke engang et rap over fingrene, selv om data er tilgået bevidst og ulovligt. Hvorfor anmeldes disse folk ikke?

Hvordan kan vi tro på, at det offentlige nogensinde kommer til at kunne håndtere vore privatliv på ansvarlig måde, når man simpelthen - simpelthen - ikke nogensinde bliver klogere?

Man får lyst til at anmelde Københavns Kommune... Men der bor jeg desværre ikke. Håber, at andre gør det.

  • 11
  • 0
Aslak Stage

Hvis der ikke er konsekvenser af at ledere uberettiget og uden grund, samt tilladelse har snaget i private og for lederne fuldstændig uvedkommende oplysninger, så er retstilstanden i Københavns Kommune i min bog fuldstændig fraværende.

Og særligt i det offentlige system, hvor man skal kunne stole på at adgangen til oplysninger ikke misbruges er det helt hen i vejret at der ikke oplyses om at der er uddelt skriftlige advarsler en masse til samtlige ledere som har gjort dette, samt at der i enkelte tilfælde er bortvist ledere for klart at have overtrådt deres beføjelser!

Der er ingen undkyldninger!

Det er simpelthen for dårligt at man bare skriver at man har indskærpet og gjort meget ud af at uddanne folk ......

Der er her tale om at ledere har snaget i oplysninger som er dem fuldstændigt uvedkommende.

Menige medarbejdere er blevet politianmeldt og bortvist for lignende.

  • 16
  • 0
Birger Nielsen

Og efter godt to måneder gav lederne it-enheden besked om, at nu havde de fisket alle de data de havde brug for, så nu skulle adgangen fjernes og kommunen skulle for syns skyld offentliggøre, at der desværre var sket en fejl men at den nu var blevet lukket.

Eller hvad man nu skal tro på.

  • 4
  • 1
Anne-Marie Krogsbøll
  1. Kommunen har som udgangspunkt ikke magtet at beskytte data effektivt....
  2. Ledende medarbejdere har misbrugt deres magt til at snage i medarbejdernes forhold..
  3. Enten har de pågældende ledere så heller ikke anmeldt hullet, eller også har kommunen været meget længe om at følge op på det.
  4. Kommunen følger tilsyneladende heller ikke op på sin pligt til at anmelde databrud/misbrug af data til Datatilsynet (jeg er ikke jurist - jeg antager, at de har en sådan pligt i en sådan sag. For mig at se, er der tale om misbrug af data).
  5. Kommunens latterlige sanktioner understreger, at det offentlige (stadig) ikke tager dataforbrydelser alvorligt. Der er lavet lovgivning på området - men alligevel betragter man ikke disse ulovlige opslag som forbrydelser, men som "svipsere", som kan klares med præcisering af reglerne. Så længe det er de signaler, der sendes fra det offentlige i disse sager, får man aldrig ansatte til at tage deres pligter og begrænsninger på området alvorligt - for det gør deres overordnede og myndighederne jo ikke!

Disse 80 ledende medarbejdere har stjålet deres ansattes ret til privatliv. Ville man på tilsvarende vis nøjes med at "indskærpe reglerne", hvis 80 ledende medarbejdere var blevet grebet i at stjæle af kassen?

Og er jeg den eneste, som er rystet over omfanget af dette misbrug? To måneders hul, som medfører 206 uberettigede opslag fra 80 lederes side? Hvad siger det om den menneskelige faktor i disse sammenhæng? Hvordan mon det så ser ud i f. eks. Sundhedsplatformen, hvor der også er ret frit slag til uberettigede opslag - hvilket man ville opdage, hvis man ellers tjekkede loggen engang imellem? Eller ift. OPEN, hvor den ansvarlige forsker/embedsdame i går argumenterede med, at forskerne skam ikke kan finde på den slags? Eller i politiets udstrakte adgange? Skal vi virkelig tro på, at det kun er ledere i Københavns Kommune, som er brådne kar - eller skal vi som udgangspunkt gå ud fra, at alle adgange vil blive groft misbrugt, og at vi derfor er nødt til at sikre data på anden måde?

Det er (endnu en) rigtigt grim sag - endnu et eksempel på, at data i det offentlige er lækket, og er blevet misbrugt. For det er der jo tale om. Alligevel skal vi med korte mellemrum belæres om, at der aldrig har været eksempler på misbrug af data fra det offentlige.

Det er jo i stigende grad et spørgsmål om, hvordan man definerer "misbrug". I mine øjne er denne sag som sagt udtryk for misbrug.

  • 6
  • 1
Finn Christensen

Hvis der ikke er konsekvenser af at ledere uberettiget og uden grund, samt tilladelse har snaget i private og for lederne fuldstændig uvedkommende oplysninger, så er retstilstanden i Københavns Kommune i min bog fuldstændig fraværende.

Magtfuldkommenhed - kommunen har i mands minde kun oplevet et parti (og nej, de øvrige er vedhæng).

Så "Magt korrumperer nemlig stadig i stor stil og får ledere til at opføre sig dårligere og dårligere i takt med, at de bevæger sig op ad rangstigen" (Dacher Keltner, professor i socialpsykologi) ..https://www.lederne.dk/ledelse-i-dag/ny-viden/2017/ledelse-i-dag-juni-20...

Hvis de 80 personer ikke får en følelig straf for misbruger, så bekræftes som forventet blot ovenstående.

  • 7
  • 1
Claus Jørgensen

Sikke en gang vrøvl
- læs den originale nyhed hos Københavns kommune!

I perioden med sikkerhedsbruddet blev der registreret i alt 10.000 opslag i den pågældende it-løsning, men kun i 206 tilfælde kiggede 80 ledere og stedfortrædere på et dokument med en medarbejders private borgeroplysninger.

ad 1) ja, KK har ansvaret for at en eller anden annorak i tennis-sokker ikke har haft styr på AD-grupper/roller (eller hvordan KK nu engang styrer brugerrettigheder)

ad 2 & 5) f. eks. en leder slår en personalesag op i et HR system, udover selve sagen bliver der blandt forskellige dokumenter vist medarbejderens seneste parkeringsbøde, eller en vielsesattest.
Skal lederen sanktioneres fordi et system er forkert konfigureret og viser andre dokumenter?

ad 3) forventes en teamleader i f.eks. rengøring, at kunne gennemskue at systemet er konfigureret forkert, og strakt fejlmelder det.

ad 4) kommunen har indberettet, og informeret alle berørte parter.

Jeg går ned af gaden, drejer hovedet fordi der er en som råber efter mig, og tilfældigvis kommer til at kigge ind af vinduet i en stuelejlighed - er det også misbrug af halsen og derfor automatisk snageri?

  • 0
  • 3
Anne-Marie Krogsbøll

Tak for svar, Claus Jørgensen:

ad 2 & 5) f. eks. en leder slår en personalesag op i et HR system, udover selve sagen bliver der blandt forskellige dokumenter vist medarbejderens seneste parkeringsbøde, eller en vielsesattest.
Skal lederen sanktioneres fordi et system er forkert konfigureret og viser andre dokumenter?


Ja, hvis det er det, der er foregået (Ved vi det? Jeg har i hvert fald ikke ud fra artiklen forstået det sådan - kan være min fejl. Jeg vil næsten håbe, at du har ret), så er det en gang vrøvl, jeg har skrevet. Men i så fald: Hvorfor så skulle ud og indskærpe reglerne? Det er jo så åbenbart ikke der, problemet ligger? Og hvis du har ret, kan man vel næppe kalde det "Ulovligt tilgået", som det omtales i artiklen?

  • 1
  • 0
Anne-Marie Krogsbøll

ad 4) kommunen har indberettet, og informeret alle berørte parter.


Nu har jeg læst den originale meddelelse, som jeg ikke var opmærksom på (min fejl), og må give dig ret på dette ene punkt: Kommunen har anmeldt til Datatilsynet, hvilket ikke fremgår af artiklen.

Det fremgår af meddelelsen at:
Kommunen er igang med at undersøge et antal opslag nærmere, hvilket for mig at se indikerer, at der her ikke bare er tale om, at dokumenter utilsigtet er dukket op ved en søgning - man har - lyder det for mig til - på en eller anden måde aktivt tilgået dem. Det vil vel så vise sig.

Kommunen skriver så:
Som leder og medarbejder i Københavns Kommune har man et eget ansvar for at kende kommunens it-sikkerhedspolitik og agere i tråd med den." Her vil jeg tilføje, at det vel ikke kun er kommunens lokale politik på det punkt, der her er på spil, men love og regler?

Og "Alle nyansatte i Københavns Kommune har pligt til at sætte sig ind i reglerne for korrekt opbevaring af og håndtering af dokumenter og får mulighed for at tilgå den eksisterende e-læringsuddannelse – det oplyses de om i ansættelsesbrevet."
Så såfremt de pågældende har kunnet se, at de nu tilgik private oplysninger, så burde de være klare over, at de var på afveje. De burde vide, at de kun har ret til at se de oplysninger, de har brug for. Og vel også, at der ikke burde være adgang til disse dokumenter. Men det må en nærmere undersøgelse vel så vise.

Men som sagt: Jeg håber, at du har ret, for ellers er det alvorligt, hvis så mange aktivt har foretaget ulovlige opslag.

  • 0
  • 1
Sonja Hansen

Hvordan skal de berørte medarbejdere kunne se deres leder i øjne, hvis kommunen vælger at feje det ind under gulvtæppet? For de berørte medarbejder er alle bleven gjort opmærksom på at deres private sager er tilgået på ulovligvis. Så en løftet pegefinger ville i den grad være en meget kedelig konsekvens.

Mod dumhed kæmper selv guderne forgæves.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize