Gladsaxe Kommune afviser, at der i to sager om mistede computere med personhenførbare data er tale om et datalæk. Der er nemlig kun tale om et datalæk, hvis dataene er blevet tilgængelige for offentligheden, skriver kommunens Twitter-profil.
»Vi mener ikke, at nogen af de to hændelser er datalæk, som vi forstår det. Når vi tænker datalæk handler det mere om, at jeg ved en fejl kommer til at lægge noget på vores hjemmeside, som ikke burde være der,« siger Mikael Wolf, chef for Byrådssekretariatet i Gladsaxe Kommune.
Diskussionen udspringer af den sag fra december, hvor en computer blev stjålet fra Gladsaxe Kommune.
Computeren indeholdt fortrolige oplysninger om 20.000 borgere på et ukrypteret drev. Det betød, at kommunen valgte at skrive ud til de berørte borgere, for at informere dem om, hvad der var sket.
Tirsdag kunne Politiken så rapportere om endnu en computer med personhenførbare data, som var blevet mistet, denne gang med 40 personers data. Dengang var der tale om en bærbar computer, som blev mistet i en bus.
Svar på tiltale
I artiklen omtalte Politiken hændelsen som et datalæk, men det faldt Gladsaxe Kommunes Twitter-ansvarlige for brystet. I et tweet skriver kommunens twitter-profil, at der ikke er tale om et datalæk, og at Datatilsynet har vurderet, at Gladsaxe kommune handlede korrekt.
Den samme udlægning giver Mikael Wolf til Version2:
»Vi mener, at udgangspunktet har været, at man har stjålet de PC’er for at sælge dem som hælervarer, og ikke fordi man har været interesseret i, hvad der ligger på computerne.«
I mener ikke, at det er et datalæk, fordi computerne sandsynligvis ikke er blevet stjålet med henblik på at få adgang til dataene, men for at sælge hardwaren?
»Ja, det er vores udlægning. Vi kan selvfølgelig ikke vide det, men vi har ikke oplevet før, at man prøver at stjæle data på den måde, ved fysisk at gå ind at stjæle nogle maskiner. Der vil man jo finde andre måder at få fat i data på.«
Men det tyder vel på, at hvis man vil have fat i nogle personhenførbare data, så er det måske en meget god måde at gøre det på?
»Det kan du sige, forudsat at medarbejderen ikke overholder reglerne. Men udgangspunktet er, at de regler vi har, dem skal medarbejderne også overholde, og så må der slet ikke ligge sådan nogle oplysninger på en computer på den måde,« siger Mikael Wolf.
Datalæk er ikke veldefineret
Hverken Datatilsynet eller GDPR-forordningen definerer begrebet datalæk.
GDPR-forordningen omtaler i stedet ”brud på persondatasikkerheden” sådan:
»Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.«
Datatilsynet arbejder formelt set heller ikke med begrebet datalæk, men i deres Vejledning om håndtering af brud på persondatasikkerheden omtales der flere gange lækkede data, læk og lækager, primært i eksempler som skal illustrere den rette måde at håndtere specifikke situationer på.
Datatilsynet vil ikke tage stilling til, om den specifikke sag er et eksempel på et datalæk, men oplyser til Version2, at ikke alle brud på persondatasikkerheden er datalæk, men alle datalæk er brud på persondatasikkerheden.
Ikke en afvigelse fra normal procedure
Efter Politikens artikel beskrev den mistede computer som et ”skjult datalæk af personfølsomme oplysninger”, er der kommet et politisk flertal i Gladsaxe Kommunes byråd for, at der skal foretages en uvildig undersøgelse af situationen.
Men Mikael Wolf er ikke enig i, at hændelsen har været skjult. Det er nemlig ikke almindelig procedure at informere byrådet om hver enkelt brud på persondatabeskyttelsen.
»Vi har ikke haft nogen intention om, eller interesse i, at hemmeligholde noget. Vi har været fuldstændig åbne over for Datatilsynet, og har fået en afgørelse fra Datatilsynet om, at det vi har gjort, er det rigtige,« siger Mikael Wolf.
»Det handler ikke om, at der er en enkelt hændelse, vi ikke har fortalt dem om, vi orienterer ikke generelt byrådet om alle sikkerhedshændelser. Derfor er det ikke unormalt, at vi ikke har valgt at gøre det med den i sommers.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.