Cpr-numre og sociale forhold lækket i offentligt Kombit-dokument: Troede persondata var sløret

Cpr-numre og navne var overstreget med en blå markering i pdf-filen, men kopierede man skærmbillederne over i Word, var overstregningerne væk. Illustration: Skærmbillede / share-komm.kombit.dk
Kommunernes it-fællesskab, Kombit, troede, de havde sløret navne, adresser og CPR-numre på personer fra Roskilde Kommune i et dokument, der lå frit tilgængeligt på nettet. Men kopierede man skærmbillederne ind i Word, var sløringen forsvundet og personoplysninger fuldt synlige.

Hvad har en fleksjobber, en kontanthjælpsmodtager, adskillige parkeringsbødemodtagere og en enkelt, der skulle betale erstatning til biblioteket, til fælles?

De har alle fået lækket deres personoplysninger i et PDF-dokument oprettet og uploadet af kommunernes it-fællesskab Kombit. Dokumentet har nemlig ligget frit tilgængeligt på dokumentbiblioteket share-komm.kombit.dk siden marts 2015.

Illustration: Skærmbillede / share-komm.kombit.dk

PDF-dokumentet var en vejledning til kommunale medarbejdere, som guidede dem til at få overblik over sager og rydde op i dem i sagsbehandlingssystemet KMD Sag.

Vejledningen indeholdt imidlertid skærmbilleder med personhenførbar data fra KMD Sag-systemet. På skærmbillederne var personoplysningerne streget over i selve pdf-filen, men kopierede man skærmbillederne fra pdf’en ind i et Word-dokument, var overstregningen forsvundet.

Her stod for eksempel en kvindes navn, adresse og cpr-nummer, ligesom man kunne få overblik over adviserne (underretningerne) i hendes forløb med fleksjob.

Et andet skærmbillede viste en mands navn, adresse og cpr-nummer og en oversigt over de dokumenter, Roskilde Kommune havde tilknyttet hans sag om kontanthjælp: F.eks. hans kontoudtog, eksamensbevis, lønsedler og opholdstilladelseskort.

Derudover var der et skærmbillede fra et overblik over alle sager, hvor dele af 38 Roskilde-borgeres navne og cpr-numre fremgik. De sidste to cifre i cpr-numrene var ikke synlige på grund af kolonnens bredde, ligesom det kun var dem med korte navne, hvor det fulde navn var synligt.

Det fremgik også af materialet, hvilken sag kommunen behandlede om borgerne: P-afgifter, biblioteksregninger, tilbagebetalingspligtig hjælp, ejendomsskat og andet.

Skærmbillederne lå frit og usløret på Google

Pdf-dokumentet var en del af Kombit-systemet Sags- og Partsoverblik, SAPA’s dokumentbibiliotek, hvor det var uploadet til Kombits SharePoint-domæne. Dokumentbiblioteket henvendte sig til kommuner og leverandører, men var frit tilgængeligt for alle med en internetforbindelse.

Illustration: Skærmbillede / docplayer.dk

Efter Version2 kontaktede Kombit mandag, har de fjernet dokumentet og lukket den offentlige adgang til deres SharePoint.

Men dokumentet var også uploadet til to andre domæner, og her stod det værre til: Den oprindelige PDF-sløring var nogle steder forsvundet, så de 38 cpr-numre og navne var synlige.

Version2 fandt det andet upload med en simpel Google-søgning: Brugte vi søgeordene »kmd sag vejledning« eller »kombit sag vejledning«, var dokumentet det første hit. Det var uploadet på Kombits egen hjemmeside med url’en:

https://www.kombit.dk/sites/default/files/Minivejledning%20til%20uds%C3%
B8gning%20af%20manuelle%20sager%20i%20KMD%20Sag%2C%204.%20marts%202015.pdf
Tirsdag morgen var den stadig online.

Det tredje upload lå på det eksterne, russisk-ejede domæne www.docplayer.dk og kunne også findes på Google, hvis man søgte på hele dokumenttitlen: »Minivejledning til overblik og oprydning af manuelle sager i KMD Sag«. Url’en var:

https://docplayer.dk/7671250-Minivejledning-til-overblik-og-oprydning-af-manuelle-sager-i-kmd-sag.html

Den var også stadig online tirsdag morgen.

Databeskyttelsesrådgiveren og den presseansvarlige

Illustration: Skærmbillede / google.dk

Da Version2 tjekkede de to sider igen kl. 11:55 tirsdag, var de blevet lukket ned.

Før det havde Version2 i løbet af tirsdag formiddag forsøgt at kontakte Kombits databeskyttelsesrådgiver Charlotte Gall for at advare om de to andre steder, hvor dokumentet lå, men hun tog ikke telefonen.

På Kombits hjemmeside skriver de om deres databeskyttelsesrådgiver:

»Endvidere vil enhver kunne kontakte KOMBITs databeskyttelsesrådgiver med information, hvis der måtte være forhold, hvor der kan være en risiko for, at KOMBITs behandling af personoplysninger ikke overholder reglerne«.

Vi fik ikke fat i Charlotte Gall, databeskyttelsesrådgiveren. I stedet fik vi fat i Kombits presseansvarlige, Henrik Kirkeskov, som vi allerede havde interviewet mandag om det første upload af dokumentet.

Han afviste - ligesom han gjorde mandag - at vi kunne tale med Charlotte Gall, som har ansvar for at føre tilsyn med, om Kombit overholder reglerne for databeskyttelse. Begrundelsen var, at han, og ikke Charlotte Gall, var talsperson på sagen.

Illustration: Skærmbillede / kombit.dk

Vi orienterede ham om de to øvrige uploads på kombit.dk og docplayer.dk og om, at de nu var blevet lukket. Han kunne ikke svare på, hvornår Kombit havde søgt på Google og opdaget, at der var to andre versioner af dokumentet, som lå udenfor Sharepoint, men han ville undersøge det.

Han understregede, at Kombit arbejder på fuld tryk for at få løst situationen.

Senere tirsdag eftermiddag ringede Henrik Kirkeskov igen, denne gang med Charlotte Gall ved sin side, som vi ellers ikke havde måtte tale med hverken mandag eller tidligere på dagen tirsdag.

Version2 bringer senere i dag det interview med Henrik Kirkeskov, som blev gennemført mandag med opdateringer fra den samtale, Version2 havde med Henrik Kirkeskov og Charlotte Gall tirsdag eftermiddag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

"Når det er i en PDF, så kan det ikke ændres"

Den sætning har jeg hørt af rigtig mange gange. Enkelte gange har jeg også taget mig tiden til at vise hvordan man gør, på en sådan måde at selv en lægmand kan finde ud af det.

På samme måde har jeg set løsninger hvor personfølsomme oplysninger er blevet skjult med et

display: none;

Man undres nogle gange...

Simon Mikkelsen

"Når det er i en PDF, så kan det ikke ændres"

Jeg har prøvet det samme med andre offentlige myndigheder. Det handlede om at de sendte et screenshot til en support, så der var ikke tale om offentligt tilgængelige data. Det blev sendt i Word (i sig selv træls) med et sort objekt sat oven over det som skulle sløres. Det kunne man bare slette igen, på samme måde som mange ikke er klar over at ældre versioner af dokumentet gemmes i filen.

I dette tilfælde var det ikke et problem. Alle aftaler var i orden til at vi kunne håndtere data, men det var unødvendigt og vi burde ikke have haft det. Men det viser, at mange slet ikke ved nok om de værktøjer de bruger.

Anne-Marie Krogsbøll

Det lyder til, at jeg skal igang (efter jul) med at tjekke alle de aktindsigter, jeg i tidens løb har modtaget, som stort set kun har bestået af sorte bjælker (eks. Epics sikkerhedsrapport)? Det bliver sjovt...

(hvis nogen har lyst til at lægge en lille "Gør sådan" ind i en kommentar, så er chancen for, at jeg får succes, større).

Kurt Friis Hansen

Jeps. Det er så enkelt (og har været det stort set lige så længe Microsoft og Adobe har eksisteret), at selv højt uddannede mennesker på ledelsesniveau, yngste kontorelev eller en midlertidig gulvkosmetiker (rengøringshjælp) kan finde ud af det!

Kombit har åbenbart blot rendyrket et usædvanligt højt inkompetenceniveau; mon de med god samvittighed kan fortsætte med at opretholde et så højt niveau?

Smil

Kurt Friis Hansen

Så længe du ikke viderebringer data, er det næppe noget problem.

Når du har opnået aktindsigt, er du i din gode ret til at gå ud fra, at den person, der frigiver oplysningerne, besidder den mest basale kompetence, og at alle de data, du lovligt har fået adgang til, må læses af dig.

Du har lov til at antage at afsenderen ved, hvad han/hun har med at gøre - især i sådan en sag. Hvordan ved du, at den inkompetente sværtning ikke er bevidst handling?

OK. Ligefrem at mistænke intelligens er nok at strække den...

På den anden side, kan offentlige myndigheder ikke forlange, at du som menig borger har en kompetence, de ikke selv besidder. Altså må du gerne kopiere tekster - hvoraf dele er sværtede - til et andet, privat dokument, og gå ud fra at resultatet er tilsigtet. Ingen kan med rimelighed forlange, at du skal opdage at sværtningen enkelte steder i et tredive siders dokument på mystisk vis er forsvundet.

Men du skal nok ikke reklamere med din nyvundne viden ;-)

Smil

P.S. En helt almindelig, primitv teksteditor er til tider et bedre redskab end Word ;-)

Gert G. Larsen

Der er 2 vigtige grunde til oprydning af sager i KMD Sag.
Kommunen betaler for de aktive sager, en oprydning kan udgøre store besparelser. Én sag koster
27,65 øre pr. sag pr. md.
Kommuner der kan undvære brugen af manuelle sager, kan spare 10% af den årlige udgift på KMD
Sag

Nååh, så det er af økonomisk vigtige grunde. Pyt med borgernes data?

Log ind eller Opret konto for at kommentere