Datatilsynet retter hård kritik mod CPR-kontoret for læk af 900.000 personnumre

Illustration: REDPIXEL.PL/Bigstock
Det er meget kritisabelt, at 900.000 cpr-numre fra Robinson-listen blev lækket i 2014, lyder det fra Datatilsynet, der dog ikke kan politianmelde den ansvarlige myndighed.

Der blev ikke udvist den fornødne omhu fra CPR-kontoret og it-leverandøren af Robinson-listen, CSC, da cpr-numrene på 900.000 danskere blev lækket den 2. juli 2014.

Det skriver Datatilsynet i en netop offentliggjort gennemgang af sagen, hvor tilsynet rejser en hård kritik af den dataansvarlige myndighed, CPR-kontoret.

Robinson-listen indeholder navne på personer, som gerne vil beskyttes mod markedsføring fra firmaer, og på grund af en fejl hos it-leverandøren CSC var cpr-numrene på samtlige 900.000 personer blevet gjort tilgængelig for en række virksomheder.

Personnumrene optrådte sammen med navn og adresse.

»Datatilsynet skal herved henvise til, at offentliggørelse af oplysninger om personnummer i kombination med navn og adresse i værste fald ville kunne få alvorlige konsekvenser for en berørt person,« skriver Datatilsynet i afgørelsen.

I alt nåede 18 virksomheder at downloade listen, hvor cpr-numrene optrådte, inden CPR-kontoret tog den ned igen, oplyser Datatilsynet.

Alle virksomhederne har efterfølgende - og på opfordring fra CPR-kontoret - bekræftet, at de har slettet deres kopi af Robinson-listen. Samtidig har CPR-kontoret ved at søge på internettet heller ikke kunnet konstatere, at filen er tilgængelig ifølge Datatilsynet.

Så medmindre der er nogen, som nåede at gemme en kopi af listen, som endnu ikke er slettet, skulle de 900.000 cpr-numre ikke længere være i omløb.

Menneskelig fejl hos it-leverandøren CSC

Der var tale om en menneskelig fejl i batchkørslen hos CSC, der betød at cpr-numrene ikke blev slettet fra den endelige version af listen, sådan som de ellers burde være blevet det, fremgår det af Datatilsynets afgørelse.

Fejlen indebar, at listen ikke nåede at blive færdigbehandlet, før den blev sendt fra CSC og videre til CPR-kontoret til publicering. Numrene var dermed ikke blevet fjernet fra listen, og CSC havde ikke efterkontrolleret dette. Samtidig havde CPR-kontoret heller ikke gennemgået listen, før myndigheden lagde listen ud på siden cpr.dk, hvor omkring 600 virksomheder kunne få adgang til den med brugernavn og adgangskode.

Selvom den første fejl skete hos CSC, er det alligevel CPR-kontoret, der står med ansvaret, da myndigheden er dataansvarlig, fremgår det af Datatilsynets redegørelse. CSC er databehandler for CPR-kontoret.

Alligevel er det ikke muligt for Datatilsynet at gøre andet end at komme med en kritik af CPR-kontoret.

Datatilsynet har i henhold til persondataloven ikke mulighed for at eksempelvis politianmelde offentlige myndigheder, der ikke overholder deres ansvar.

Tilsynet har tidligere sagt til Politiken, at hvis en privat virksomhed havde været ansvarlig for lækket af de 900.000 cpr-numre, så ville det sandsynligvis ende med en politianmeldelse.

»Den mulighed eksisterer ikke i forhold til offentlige myndigheder. Det er der ikke hjemmel til i persondataloven,« sagde specialkonsulent i Datatilsynet Jesper Vang tidligere.

CPR-kontoret har efter cpr-lækket indført en dobbeltkontrol af Robinson-listen, før den lægges ud på cpr.dk, står der i Datatilsynets afgørelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Milos Game

Der var tale om en menneskelig fejl i batchkørslen hos CSC, der betød at cpr-numrene ikke blev slettet fra den endelige version af listen, sådan som de ellers burde være blevet det, fremgår det af Datatilsynets afgørelse.

Hvorfor fa'en hiver man overhovedet personnummeret med ud af databasen, hvis det ikke skal sendes af sted??

Her er et eksempel, med et ikke-eksisterende programmeringssprog, så I kan selv "oversætte" til jeres favoritsprog:

Start Funktion HentRobinsonListe
hent navn, adresse fra tabel RobinsonListe
generer liste i overskueligt format
returner listen
Slut Funktion HentRobinsonListe

Det er en separat funktion der udelukkende benyttes i forbindelse med generering af Robinson-listen. Slut, prut.

  • 8
  • 0
Peter Christiansen

Hvis Datatilsynet ikke kan politianmelde CPR-kontoret , kan en privat person så gøre det?

Eller er der ikke hjemmel i loven til at anmelde staten for noget?

Som jeg har sagt tidligere, den største straf en ansat i staten, eller staten som institution kan få, er en næse.

Jeg elsker:
"CPR-kontoret har efter cpr-lækket indført en dobbeltkontrol af Robinson-listen, før den lægges ud på cpr.dk, står der i Datatilsynets afgørelse."

Og derefter "CASE CLOSED NOTHING TO SEE HERE!!"

Klap Klap Klap!

  • 12
  • 0
Peter Tagesen

Næh, men hvis det er en "aktivist" der offentliggør CPR numrene på 14 politikere, så bliver han straks sigtet efter en eller anden terrorparagraf, eller noget andet drakonisk.


Nu var det godt nok 91 politikere og ikke 14.

Men i næsten samme åndedrag (enten et par uger før eller efter lækagen) var der en politiker, som sagde, at der ikke er nogen fare ved, at et cpr-nummer bliver offentliggjort. Der blev jeg bare helt vildt tryg. Eller...

  • 5
  • 0
Finn Christensen

Som altid er der naturligvis ingen som helst helst personer der vil blive straffet for ulovlighederne.

Som det står nævnt, er det ikke ulovligt for de involverede, og de kan så ikke straffes..

»Den mulighed eksisterer ikke i forhold til offentlige myndigheder. Det er der ikke hjemmel til i persondataloven,«

Man vidste jo allerede da loven blev lavet, at en offentlig administration selv slet ikke magter at leve op til en lov, som "dem derude" skal efterleve hver dag.

Absolut intet som helst nyt fra Vestfronten.. den type fraskrivning af ansvarlighed pusles med lidt ordvrid her og der der på plads året rundt. For helt almindelige ansatte, der kun følger ordrer, ødelægger et dårligt image ens karriere (samarbejdsvanskeligheder!).

Andre steder i lovgivningen bruger vi "..denne lov gælder ikke på Grønland og Færøerne..".

Lokalt herhjemme har vi varianter, der folkeligt kan udtrykkes således: "...denne lov/betingelser/regelsæt/cirkulærer gælder ikke for offentlige institutioner, deres ansatte, deres handlinger og udstyr".

Loves laves for "dem derude". Man kan jo ikke sidde på sin flade i 'Styrelse X' og smide politi og anklager efter sin uheldige broder i 'Styrelse Y'.

Når man så tilmed godt ved, at enhver dårlig nyhed smitter af på vores minister/borgmester/name it.. ;)

Datatilsynet er efterhånden kun en hævet pegefinger uden magt.

  • 1
  • 0
Simon Mikkelsen

En ulykke (som dette må betegnes som) opstår ikke pga. en enkelt fejl. Hvis det kan lade sig gøre, er der allerede begået en fejl forinden.

I dette tilfælde lyder det som om der er en manuel process, eller en automatiseret process uden tilstrækkelig kvallitetssikring.

At have en ren manuel process der har med så følsomme data at gøre, burde udløse et review af resultatet fra en anden person. Der findes også systemer der lytter på udgående data og forsøger at opfange data der ikke skal komme igennem.

At lave noget uden tilstrækkelig kvalitetssikring har været ren profit for CSC og de burde straffes derefter. Hvis jeg stjæler i en butik bliver jeg straffet, men her har CSC stjålet af vores allesammens penge ved at levere et produkt af en ringere kvallitet end det burde have.

  • 7
  • 0
Peter Jensen

Som det står nævnt, er det ikke ulovligt for de involverede, og de kan så ikke straffes..


Nu er Version2 ikke nogen autoritet der afgør om det er lovligt eller ej.

Der er sket en klar overtrædelse af Persondataloven ved offentliggørelse af det personfølsomme CPR-nummer.

At Datatilsynet ikke har lovhjemmel til at anmelde CPR-kontoret til Politiet er ikke det samme som at det så er lovligt. Det er kun et spørgsmål om Datatilsynets lovgivningsmæssige kompetencer.

Alle forurettede kan anmelde det til Politiet.

  • 2
  • 0
Log ind eller Opret konto for at kommentere