CPR-numre på elever lå frit tilgængelige fra skole-it på erhvervsskoler

Modelfoto Illustration: Svendborg Erhvervsskole
Det af staten udviklede studieadministrative it-system, Easy-P, lever ifølge Datatilsynet ikke op til persondatalovgivningen.

Opdateret. Der har været fri adgang for uvedkommende til erhvervsskoleelevers CPR-numre, hvis man bare loggede sig ind på skolernes åbne netværk.

Det konkluderer Datatilsynet i en afgørelse om det statsudviklede studieadministrative it-system, Easy-P, som anvendes på landets erhvervsskoler til praktikhåndtering.

Afgørelsen er truffet på baggrund af en klage fra august 2015 over sikkerheden i it-systemet, der er udviklet af Styrelsen for It og Læring, STIL.

Version2 har tidligere beskrevet, at det var Jonas Boserup, der til daglig læste på Teknisk Gymnasium, der opdagede, at han kunne få adgang til eksempelvis CPR-numre i det studieadministrative system Easy-P, som Selandia anvender - blandt andet via et åbent wifi-net. Det viste sig også, at det var muligt at omgå det, der skulle forestille at være en login-beskyttet del af systemet ved at fjerne '_security' fra en URL.

Læs også: Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af skolen

Efter en over halvandet år lang sagsbehandling fastslår Datatilsynet nu, at Easy-P på en række punkter har været for usikkert:

  • Det har været muligt at tilgå oplysninger om personnumre på en side i EASY-P benævnt 'Værktøjssiden', blot man havde adgang fra uddannelsesinstitutionens åbne trådløse netværk – dette kan bl.a. tilgås uden for skolen på kommunale stier.
  • Det var endvidere muligt at tilgå størstedelen af funktionaliteten i EASY-P blot ved at fjerne 'secure' fra adressestien på en side for brugergodkendelse, hvorefter der var adgang til systemet
  • Der indgik bl.a. et menupunkt benævnt 'CPR-Søgning', som tillod indtastning af et givent personnummer, hvorefter man som svar fik personens navn
  • CPR-søgningen var ikke begrænset til elever på erhvervsskoler.

Kritisabelt

Konklusionen fra Datatilsynet er, at behandlingen af personoplysninger i Easy-P efter tilsynets opfattelse ikke har levet op til Persondataloven, og at dette er 'kritisabel'.

STIL har anført, at styrelsen ikke mener, at der har været adgang til persondata fra det åbne internet, men Datatilsynet fastholder dog sin afgørelse.

STIL er blevet sat til om at undersøge om logfiler kan vise, om sikkerhedsbristen har været udnyttet af uvedkommende til at skaffe sig adgang til personoplysninger i EASY-P. Eller i CPR-registret, såfremt CPR-opslag via løsningen sker direkte i CPR, skriver Datatilsynet.

STIL er blevet bedt om svar på dette inden medio maj.

Som Version2 tidligere har beskrevet, er der taget beslutning om helt at afvikle og lukke Easy-systemet. Det vil ske fra sommeren næste år.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Kære Datatilsyn

Vil I ikke være søde at forklare mig...

Kære Henrik,

Hvis du vil være så sød at kaste et blik på flg., så har du nok en væsentlig del af forklaringen:

https://www.version2.dk/artikel/regeringen-skaerer-datatilsynet-paa-fina...

https://www.version2.dk/artikel/dataforordning-kan-fordoble-arbejdet-dat...

Færre ressourcer og udfordret af arbejdet med at definere sin fremtidige rolle.

  • 7
  • 1
Henrik Sørensen

@Bjarne - Du har ret i at Datatilsynet har alt for ringe bevillinger. Det bliver helt håbløst nå Persondataforordningen træder i kraft næste år.

Det jeg anholder er den lange sagsbehandlingstid. LEAN erfaring viser at det koster mere tid og flere ressourcer at have sager liggende end at behandle dem hurtigt og effektivt.

Som borger er det krænkende for retsbevidsthed hvis man skal vente 18 mdr. på at få afgjort noget der ligner en simpel sag.

</Henrik>

  • 8
  • 0
Mads Bendixen

Færre ressourcer og udfordret af arbejdet med at definere sin fremtidige rolle.


Samme udfordringer gør sig gældende i store dele af den offentlige sektor, men det fritager dem ikke for (berettiget) kritik. Når ikke vi har et fungerende tilsyn, får GDPR ingen effekt herhjemme. Derfor er det vigtigt at rette kritikken nu, for at håbe politikerne gør noget ved det, inden det er for sent.

  • 5
  • 0
Christian Nobel

Det jeg anholder er den lange sagsbehandlingstid. LEAN erfaring viser at det koster mere tid og flere ressourcer at have sager liggende end at behandle dem hurtigt og effektivt.

Du mener nok mere anfægter.

Anyways, set fra ydersiden af firewallen (som den offentlige administration er ved at bygge op mod borgerne) virker det til at man stort set altid bruger et FiFo princip, hvorved en fuldstændig banal sag, som kunne afklares på en time, kommer ind bag en sag som fordrer et års djØFFERI, hvorfor man bare må vente på en afklaring til den store sag er færdigbehandlet.

  • 6
  • 0
Jonas Boserup

PS: Hvor stor en andel af de halvandet år udgjorde svarfrister til de involverede parter...?


Sagen kørte i 2015 fra august til november, hvorefter Datatilsynet vender tilbage d. 2 december 2016. STIL bliver bedt om svar, og svarer først d. 17 marts 2017. Jeg havde herefter mulighed for at knytte en kommentar. Den endelige afgørelse falder d. 24 april.

  • 9
  • 0
Henrik Sørensen

Hvis jeg forstår dig korrekt så lå sagen død hos Datatilsynet i knap 13 måneder hvorefter man accepterer at den indklagede part også sylter sagen i 3,5 måned.

Jeg gætter på, at der var en svarfrist på da Jonas blev bedt om en afsluttende kommentar af tilsynet. @Jonas kan du opklare dette?

Derefter kunne styrelsen sagsbehandle og træffe afgørelse på 1-2 uger.

Jeg synes det er trist og beskæmmende at opleve et så impotent system der tillader ventetider af den karakter på noget der virker som en simpel sag.

@Datatilsynet - hvad har I lært af Jonas sag og hvilke konkrete ændringer er iværksat for at sikre det ikke gentager sig?

Svarfrist: 2 uger....!

</Henrik>

  • 5
  • 1
Jonas Boserup

Det er helt korrekt at sagen har ligget hen i så langt tid. Selv stiller jeg mig uforstående overfor det, og må derfor antage det skyldes manglen på ressourcer hos tilsynet. Det er også korrekt, at jeg blev bedt knytte en afsluttende kommentar.

Derudover synes jeg det er positivt, at STIL vælger at udfase brugen af EASY-P.

  • 4
  • 0
Jan Heisterberg

Fint. Jeg håber du følger op ?

I andre områder, hospitalsbehandling, blev kritikken efterhånden så masiv, at politikerne indførte "behandlingsgaranti", hvilket alle implicerede hader og kender mange argumenter imod. Men princippet er sundt.

I det firma jeg har været ansat i, havde vi for mange år siden en 5-dages regel: kundehenvendelser (dengang var det breve) skulle besvares på 5 dage.
VI HADEDE det fordi det simpelthen var svært i belagt kalender at skulle finde ½+2 timer + tid til rettelser og godkendelser. Men reglen blev monitoreret (stikprøver på firma-niveau) og håndhævet.

Dette er jo i skærende kontrast til nutidens myndigheder som frejdigt besvarer en e-mail med: "du kan forvente svar om 14 dage".......

Mon ikke vores kære politikere skulle indføre "behandlingsgaranti" for alle myndigheder ? Hvad med 5 hverdage for simple svar, 10 dage for andre og 20 dage hvis der kræves egentlig sagsbehandling ?
Som det er nu, så er det et frit gode for enhver myndighed af være langsom.

Arbejdsskadestyrelsen, for eksempel, 1½ år !

  • 3
  • 0
Henrik Sørensen

@Heisterberg
@Kristian

Der er heldigvis mange gode eksempler, men desværre også alt for mange hvor afstanden mellem borger og myndighed er blevet for stor.

Borgeren - i dette tilfælde Jonas - bliver en ligegyldig eller ligefrem irriterende part, som man i værste fald blot negligerer og håner som i Kristians tilfælde.

Jeg er ikke vild tilhænger af 'behandlingsgarantier' som Jan heller ikke er, men borgerne SKAL have en eller anden form for retsgarantier der er markant bedre end tilfældet er i dag og det er vigtigt, at der følger en økonomisk sanktion med.

Ellers bliver det som med aktindsigtsretten, hvor myndighederne blot kan sylte sagen uden nogen egentlig konsekvens.

En mulighed kunne være at borgeren fik ret til en kontant erstatning hvis sagsbehandlingen overskred nogle klare grænser.

  • 2
  • 0
Log ind eller Opret konto for at kommentere