Ved en sikkerhedskontrol den 29. juni 2020 opdagede Forsvarets Personalestyrelse, at 45.952 helbredsskemaer har været tilgængelige via et sikkerhedshul på leverandørens webserver. Det skriver Forsvarets Personalestyrelse i en kort pressemeddelelse.

»Der er tale om en meget beklagelig fejl, som vi opdagede ved en sikkerhedskontrol, da vi skulle flytte data til et nyt datacenter. Det har krævet særlig viden at opnå adgang til helbredsskemaerne, og vi har ingen indikationer på, at misbrug har fundet sted, men da vi heller ikke kan udelukke det, har vi valgt at orientere de berørte sessionssøgende om databruddet via e-Boks,« siger direktør for Personalestyrelsen, Laila Reenberg ifølge pressemeddelelsen.
Databruddet blev anmeldt til Datatilsynet, så snart personaletjenesten opdagede fejlen, ligesom adgangen til helbredsskemaerne blev fjernet, oplyses det.
Personalestyrelsen starter samtidig, med støtte fra Center for Cybersikkerhed (CFCS), en nærmere undersøgelse af databruddet, for at finde ud af om sikkerhedshullet i webserveren er blevet udnyttet og for at forebygge lignende situationer ved leverandøren af systemet i fremtiden.
»Personalestyrelsen er i dialog med leverandøren om tiltag, der kan forhindre lignende fejl i fremtiden,« skriver styrelsen endeligt.
CPR-nummer som filnavn
Forsvarets Personalestyrelse har underrettet de 46.000 berørte danskere via E-boks, og i den besked, som Version2 er i besiddelse af, kan man blandt andet læse, at der er tale om både helbredsoplysninger og CPR-nummer.
»I helbredsskemaet kan man se dine besvarelser vedr. dit helbred, mens dit navn, adresse eller CPR-nummer ikke fremgår af helbredsskemaet. Helbredsskemaet har dog dit CPR-nummer som filnavn,« skriver Forsvarets Personalestyrelse, der også nævner, at man opdagede fejlen i forbindelse med et skift af datacenter.
I underretningen beskriver Forsvaret også fejlen i lidt flere detaljer.
»En nærmere undersøgelse viste, at leverandøren fejlagtigt manglede at indføre en kode i systemet, som efter din udskrift af helbredsskemaet, skulle give en instruktion om at slette helbredsskemaet på Webserveren. Det har således aldrig været hensigten, at oplysningerne skulle opbevares på webserveren«