Gladsaxe Kommune: Det er ikke et datalæk, de er blevet stjålet

Illustration: Solar22 / BigStock
Efter en artikel i Politiken om tyveriet og bortkomsten af to ukrypterede computere, som indeholdt personhenførbare data om borgere i Gladsaxe Kommune, skriver kommunen på Twitter, at det ikke er et datalæk, men et datatyveri

Gladsaxe Kommune afviser, at der i to sager om mistede computere med personhenførbare data er tale om et datalæk. Der er nemlig kun tale om et datalæk, hvis dataene er blevet tilgængelige for offentligheden, skriver kommunens Twitter-profil.

»Vi mener ikke, at nogen af de to hændelser er datalæk, som vi forstår det. Når vi tænker datalæk handler det mere om, at jeg ved en fejl kommer til at lægge noget på vores hjemmeside, som ikke burde være der,« siger Mikael Wolf, chef for Byrådssekretariatet i Gladsaxe Kommune.

Diskussionen udspringer af den sag fra december, hvor en computer blev stjålet fra Gladsaxe Kommune.

Computeren indeholdt fortrolige oplysninger om 20.000 borgere på et ukrypteret drev. Det betød, at kommunen valgte at skrive ud til de berørte borgere, for at informere dem om, hvad der var sket.

Læs også: Ansat gemte filer lokalt på pc: Nu rammer datalæk 20.000 borgere i Gladsaxe Kommune

Tirsdag kunne Politiken så rapportere om endnu en computer med personhenførbare data, som var blevet mistet, denne gang med 40 personers data. Dengang var der tale om en bærbar computer, som blev mistet i en bus.

Illustration: Screenshot / Twitter.com

Svar på tiltale

I artiklen omtalte Politiken hændelsen som et datalæk, men det faldt Gladsaxe Kommunes Twitter-ansvarlige for brystet. I et tweet skriver kommunens twitter-profil, at der ikke er tale om et datalæk, og at Datatilsynet har vurderet, at Gladsaxe kommune handlede korrekt.

Den samme udlægning giver Mikael Wolf til Version2:

»Vi mener, at udgangspunktet har været, at man har stjålet de PC’er for at sælge dem som hælervarer, og ikke fordi man har været interesseret i, hvad der ligger på computerne.«

I mener ikke, at det er et datalæk, fordi computerne sandsynligvis ikke er blevet stjålet med henblik på at få adgang til dataene, men for at sælge hardwaren?

»Ja, det er vores udlægning. Vi kan selvfølgelig ikke vide det, men vi har ikke oplevet før, at man prøver at stjæle data på den måde, ved fysisk at gå ind at stjæle nogle maskiner. Der vil man jo finde andre måder at få fat i data på.«

Men det tyder vel på, at hvis man vil have fat i nogle personhenførbare data, så er det måske en meget god måde at gøre det på?

»Det kan du sige, forudsat at medarbejderen ikke overholder reglerne. Men udgangspunktet er, at de regler vi har, dem skal medarbejderne også overholde, og så må der slet ikke ligge sådan nogle oplysninger på en computer på den måde,« siger Mikael Wolf.

Datalæk er ikke veldefineret

Hverken Datatilsynet eller GDPR-forordningen definerer begrebet datalæk.

GDPR-forordningen omtaler i stedet ”brud på persondatasikkerheden” sådan:

»Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.«

Datatilsynet arbejder formelt set heller ikke med begrebet datalæk, men i deres Vejledning om håndtering af brud på persondatasikkerheden omtales der flere gange lækkede data, læk og lækager, primært i eksempler som skal illustrere den rette måde at håndtere specifikke situationer på.

Datatilsynet vil ikke tage stilling til, om den specifikke sag er et eksempel på et datalæk, men oplyser til Version2, at ikke alle brud på persondatasikkerheden er datalæk, men alle datalæk er brud på persondatasikkerheden.

Ikke en afvigelse fra normal procedure

Efter Politikens artikel beskrev den mistede computer som et ”skjult datalæk af personfølsomme oplysninger”, er der kommet et politisk flertal i Gladsaxe Kommunes byråd for, at der skal foretages en uvildig undersøgelse af situationen.

Men Mikael Wolf er ikke enig i, at hændelsen har været skjult. Det er nemlig ikke almindelig procedure at informere byrådet om hver enkelt brud på persondatabeskyttelsen.

»Vi har ikke haft nogen intention om, eller interesse i, at hemmeligholde noget. Vi har været fuldstændig åbne over for Datatilsynet, og har fået en afgørelse fra Datatilsynet om, at det vi har gjort, er det rigtige,« siger Mikael Wolf.

»Det handler ikke om, at der er en enkelt hændelse, vi ikke har fortalt dem om, vi orienterer ikke generelt byrådet om alle sikkerhedshændelser. Derfor er det ikke unormalt, at vi ikke har valgt at gøre det med den i sommers.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (42)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Personlig information om et stort antal borgere skal beskyttes godt. Hvis man ikke har gjort det, såsom at lægge det på en ukrypteret bærbar, synes jeg godt det kan være et datalæk. Den slags bliver stjålet hele tiden!

Ukrypteret data på en bærbar, er ikke spor bedre end at have det liggende på internettet.

De prøver at definere sig ud af at have skaltet og valtet med borgerenes data, hvor de burde sige undskyld for at leve i år 1998 og få krypteret alle deres maskiner.

  • 33
  • 0
Anne-Marie Krogsbøll

Jeg er personligt ligeglad med, om det hedder datalæk eller ej - det er meget følsomme data, som er sluppet ud af kommunens varetægt og er havnet i uvedkommendes hænder, hvor vi nu ikke har den fjerneste anelse om, hvor de er, og hvad der sker med dem. Hvad skal de med den bortforklaring? Bliver bøden større, hvis det er "datalæk", end hvis det er "tyveri"?

​Jeg har ondt af de ramte, og gider ærligt talt ikke høre kommunen bruge kræfter på at bortforklare. Det er pinligt. Det burde gøre bøden endnu større, for det tyder på, at de ikke har lært af hændelserne.

  • 28
  • 1
Christian Nobel

.... hvis man ikke låser sin bil, og lader nøglen sidde i tændingen, så dækker forsikringen ikke.

Og så er det fuldstændig ligegyldigt at spekulere i om tyven har brugt bilen til et bankrøveri, splittet den til atomer og solgt delene, eller bare har ligget og kørt råddent i den.

Den er helt gal med sikkerhedskulturen i Gladsaxe - var det i øvrigt ikke liiige dem der er så forhippede på at indføre et socialt pre-crime system?

  • 26
  • 0
Ditlev Petersen

Gladsaxe Kommune afviser, at der i to sager om mistede computere med personhenførbare data er tale om et datalæk. Der er nemlig kun tale om et datalæk, hvis dataene er blevet tilgængelige for offentligheden, skriver kommunens Twitter-profil.

Hvorfor er det ikke et læk, hvis dataene "kun" er blevet tilgængelige for gangstere, hackere og spioner?
Hvorfor er det ikke et datalæk, hvis man ikke ved, hvor dataene er havnet (idet man antager at maskinen bliver formatteret og videresolgt)?
Altså hvis mit Dankort blev hugget, ville jeg da antage det værste, ikke at det nok blev brugt på et keramikkursus (Dankort er sikkert glimrende til at skrabe krukker under drejningen. Vi brugte så tømte Danmønt-kort).

  • 13
  • 0
Anne-Marie Krogsbøll

"Der er nemlig kun tale om et datalæk, hvis dataene er blevet tilgængelige for offentligheden, skriver kommunens Twitter-profil."

Er tyve og hackere ikke en del af "offentligheden"?

I øvrigt synes jeg ikke, at påstanden om Datatilsynets frikendelse af kommunen (" Datatilsynet har vurderet, at Gladsaxe kommune handlede korrekt") stemmer overens med oplysningerne i Politikens artikler, hvor Datatilsynet udtaler:

"Alene med afsæt i kommunens indledende indrømmelse lød det tirsdag fra den ansvarlige myndighed, Datatilsynet, at sagen hører til i den højere ende af alvorsskalaen:
»Hele spektret af sanktioner står til vores rådighed. Men det er klart, at det store antal eksponerede borgere gør, at vi brudmæssigt ligger i den tunge ende«, sagde Allan Frank, cand.jur. og it-sikkerhedsspecialist i Datatilsynet"

Så gad vide, hvad det er, kommunen har handlet korrekt med?

  • 17
  • 0
Nicolaj Rosing

I dén grad og selvfølgelig er der tale om et datalæk. At det så er forårsaget af et tyveri er egentlig lidt underordnet. Faktum er at kommunen ikke længere har kontrol over data.

"Vi kan selvfølgelig ikke vide det, men vi har ikke oplevet før, at man prøver at stjæle data på den måde, ved fysisk at gå ind at stjæle nogle maskiner. Der vil man jo finde andre måder at få fat i data på"

Præcis - de har ingen viden om hvad der sker med de data og hvis der er andre måder man ville kunne få fat i data end at stjæle PC'erne rent fysisk forstås, så har kommunen da noget de skal have set på meget snart. Pinlig sag, Pinlig akademisk ordfifleri i håb om at tage sig bedre ud i en sag hvor man burde lægge sig fladt ned og indrømme at der ikke har været tilstrækkelig fokus på den nødvendige sikkerhed.

  • 12
  • 0
Henning Kjær

Semantikken er ikke lige meget. Galdsaxe Kommune har mistet noget, men det er da ikke ligegyldigt hvordan. Hærværk, simpelt tyveri, tyveri, røveri, bedrageri, .... Der er mange måder at miste noget på og konsekvenserne er/kan være vidt forskellige for dem der mister noget.

  • 1
  • 3
Anne-Marie Krogsbøll

Der er mange måder at miste noget på og konsekvenserne er/kan være vidt forskellige for dem der mister noget.


For de ramte borgere - som vel må regnes for de egentlige ofre - er det lige meget, hvordan data er sluppe fri - deres privatliv er kompromiteret, og de kan gå og frygte for, hvilke konsekvenser det kan få.

Den ene computer med ukrypterede data blev stjålet i en bus. Jeg har svært ved at se, at det ikke er groft uansvarligt at tage en bærbar med meget følsomme data med i en bus, uden at kryptere den , og jeg har også svært ved at se, at det ikke er et "læk", når data slipper utilsigtet ud af folden, uanset måden det er sket på. Data er "fosset ud" - og det plejer at være definitionen på et læk, når noget ved et uheld fosser ud.

Men du må da gerne forklare lidt nærmere, hvorfor du synes, at der er forskel, Henning Kjær. Det kan jo være, at du ved nærmere eftertanke har ret - jeg kan bare ikke lige umiddelbart se det.

  • 17
  • 0
Kim Garsdal Nielsen

"Der er nemlig kun tale om et datalæk, hvis dataene er blevet tilgængelige for offentligheden, skriver kommunens Twitter-profil."

Er tyve og hackere ikke en del af "offentligheden"?

...og min olietank lækker også kun, hvis olien kommer i grundvandet? Hvis det bare ryger ud på mit garagegulv, er det ikke en læk, for så er det kun et økonomisk problem for mig selv?

  • 6
  • 0
Nicolaj Rosing

Du har givetvis ret, men jura handler (heldigvis) om evidens og ikke mavefornemmelse. Data ejer har ikke længere kontrol over data, dermed er det et læk. De borgere der har fået deres personlige oplysninger gjort offentligt tilgængelige, kan næppe bruge dit udsagn til ret meget og jeg tvivler stærkt på at det i sidste ende holder i retten,

  • 10
  • 0
Lars Skovlund

Nogle gange bliver det dog lidt for absurd, f.eks. når McDonalds får ophævet deres varemærkebeskyttelse af Big Mac i Europa, fordi "man" mener der ikke er ført bevis for at de har solgt varer under det navn. McDs eget materiale tæller ikke, for det er jo "partisk", Wikipedia tæller ikke, for det kan enhver rette i (nevermind at Big Mac-siden har sidebeskyttelse, og dermed netop ikke kan rettes af hvem som helst).

https://www.forbes.com/sites/ceciliarodriguez/2019/01/16/how-mcdonalds-l...

  • 0
  • 3
Kenn Nielsen

I et tweet skriver kommunens twitter-profil, at der ikke er tale om et datalæk....

Såeh..
Når vi ikke véd data er solgt eller udnyttet, så er der ingen læk.
Samtidigt er data'ene jo derude.
Men der er ingen læk.

»Vi mener, at udgangspunktet har været, at man har stjålet de PC’er for at sælge dem som hælervarer, og ikke fordi man har været interesseret i, hvad der ligger på computerne.«

Interesseant, for hvis computeren er mere værd i dele, - f.eks. hw og data hver for sig - så..........
-Naahh.
K

  • 9
  • 0
Heino Svendsen

For de ramte borgere - som vel må regnes for de egentlige ofre - er det lige meget, hvordan data er sluppe fri - deres privatliv er kompromiteret, og de kan gå og frygte for, hvilke konsekvenser det kan få.

Ikke helt, for der er vel juridisk forskel på, om en borgers informationer er tilgængelige grundet skødeløs håndtering af dem, eller om en person med kriminelle tendenser (altså ikke staten) på uærlig vis har tilegnet sig data?

  • 0
  • 5
Jan Gundtofte-Bruun

Det er da så nemt at sætte det flueben der sørger for, at hele disken bliver krypteret, og så er "alt i skønneste orden" hvis en pc skulle blive neglet -- medmindre det er et inside job med tilhørende login-info, og så er det jo netop data-læk.

Det er efterhånden mange år siden at jeg har arbejdet med en ukrypteret maskine. Hvad er deres undskyldning?

  • 8
  • 0
Kenn Nielsen

Ikke helt, for der er vel juridisk forskel på, om en borgers informationer er tilgængelige grundet skødeløs håndtering af dem, eller om en person med kriminelle tendenser (altså ikke staten) på uærlig vis har tilegnet sig data?


Måske, men det er vel ulovligt at tilegne sig andres persondata ?
Og dérmed er 'man' vel kriminel ?
Uanset om det var 'nemt' pga. sløseri.
Og uanset om det er sløseri med sikkerheden generelt, eller i særlige tilfælde.

K

  • 4
  • 0
Anne-Marie Krogsbøll

Ikke helt, for der er vel juridisk forskel på, om en borgers informationer er tilgængelige grundet skødeløs håndtering af dem, eller om en person med kriminelle tendenser (altså ikke staten) på uærlig vis har tilegnet sig data?


Ja, der er der sikkert juridisk, Heino Svendsen - men for de ramte er forskellen ikke ret stor, synes jeg.

Desuden er der jo i denne sag tale om begge dele: Skødesløs omgang og kriminel tilegnelse.

I øvrigt kan jeg faktisk ikke forstå, at stærkt følsomme oplysninger overhovedet har noget at gøre på bærbare computere (og da slet ikke i en bus). Ville man ikke kunne forebygge mange problemer ved at have love/regler, som simplethen slår fast, at følsomme persondata kun må opbevares/behandles på stationære og krypterede maskiner?

  • 9
  • 0
Nicolaj Rosing

Ikke helt, for der er vel juridisk forskel på, om en borgers informationer er tilgængelige grundet skødeløs håndtering af dem, eller om en person med kriminelle tendenser (altså ikke staten) på uærlig vis har tilegnet sig data?


Selvfølgelig er der dét. Hvis man mister persondata ved et røveri er det naturligvis noget andet end hvis man selv i distraktion efterlader en bærbar computer i toget, i hvertilfælde i forhold til straframmen alt andet lige. Men nu har virksomheder og offentlige institutioner haft mere end 2 år til at implementere de forholdsregler der skal til for at overholde hensigten med GDPR. Bærbare computere med personfølsomme data bør som minimum være udstyret med full disk kryptering, data bør ligge i en krypteret form når det gemmes, bruger adgang bør være implementeret med 2 faktor authentication, osv osv. Noget siger mig at meget få af disse principper er implementeret, ikke fordi 'vi' ikke ved at det er det rigtige, men fordi 'vi' ikke har beslutningskompetencen over det økonomiske råderum og 'vi' åbenbart ikke formår at overbevise 'dem' har har denne beføjelse om vigtigheden af fokus på IT sikkerhed. Mon ikke det er derfor at de i parlamentet har indset at høje bøder er et godt virkemiddel når alt kommer til alt? Mon ikke det er derfor at man prøver at snige sig udenom ansvaret ved at hævde at et læk kun er et læk hvis et større (udefineret) antal individer af offentligheden har fået adgang til data? For at komme kommunen til undsætning i denne sag vil jeg foreslå kommunen at postulere, at et læk kun er et læk hvis persondata beviseligt er blevet misbrugt af it kriminelle.... /s

  • 6
  • 0
mikkel Holm

Version2 brugerne må snart kende at udtrykket:"Det skriver vi os ud af", som er et af de mest brugte i politik. Det er netop hvad der er sket her og det virker. I bruger tiden på at diskuttere ordkløveri, fremfor den reelle problematik - lige netop hvad målet var. Lad nu vær med at falde for det :)

  • 2
  • 1
Kim Garsdal Nielsen

Det ene udelukker ikke det andet. Man kan sagtens forestille sig der at før formatteringen medens den er i PE lige er blevet mountet en USB til at kopiere indholdet ud på alene på grund af nysgerrighed.

[Spydighed]Intet kan udelukkes. Man kan også forestille sig, at computeren er direkte stjålet af en fremmed magt. Det kan endog være fjendtligtsindede aliens, der målrettet har gjort det.[/Spydighed]

Det ændrer dog intet i forhold til min almindlige dagligdags angst for, hvordan den offentlige forvalter af mine data håndterer disse. Det kan bare ikke være rigtigt, at 'mine' data kommer over på en ukrypteret bærbar.

Når kommunen kommer med udglattende meldinger om, at det ikke er en datalæk, tyder det ikke på at man internt tager det alvorligt og har sanktioneret de ansvarlige. Det sender heller ikke noget signal om, at man fremadrettet tager problematiken alvorligt. OMG.

  • 7
  • 0
Anne-Marie Krogsbøll

Mikkel Holm:

I bruger tiden på at diskuttere ordkløveri, fremfor den reelle problematik - lige netop hvad målet var. Lad nu vær med at falde for det :)


Jeg synes netop, vi diskuterer materien her, og netop kritiserer Gladsaxe for ordkløveri i stedet for materie. Men hvis vi tager fejl, kan du så ikke give et bud på, hvordan det er, vi i stedet skulle diskutere sagen? For hvis du har ret, er det selvfølgelig vigtigt at få rettet op på.

  • 6
  • 0
Nicolaj Rosing

Jeg synes netop, vi diskuterer materien her


Enig. Hvordan skulle vi overhovedet få en meningsfuld diskussion om hvad målet var? Alle ved hvad der skal til for at beskytte data ordentligt og ingen ved hvad hensigten med tyveriet har været førend tyvene er fanget og afhørt. Budskabet i de fleste indlæg her er det helt legitime: Gladsaxe kommune skal tage ansvar og få sikkerheden bragt i orden, istedetfor at bruge energi på at diskutere betydningen af ordet data læk

  • 9
  • 0
Kjeld Flarup Christensen

Hvis der skal jura indover så betyder ord meget. Derfor er klare definitioner er must, og det kniber det åbenbart lidt med.

Så er datalæk er godt ord?

Er det et datalæk når
1. Man kan finde data via Google.
2. Det er muligt for enhver at gå ind på kommunens web site og finde data.
3. Nogen kopierer data og sælger dem.
4. Nogen kopierer data ud på nettet.

  • 0
  • 0
Finn Christensen

Datalæk eller ej?

Personlig information om et stort antal borgere skal beskyttes godt. Hvis man ikke har gjort det, såsom at lægge det på en ukryptere bærebar...

Tænk sig at en kommune ikke kan finde ud af "er du gravid eller ej" - suk.

Og så tilmed bruger skatteydernes penge til semantisk forvirring af ukyndige om "læk". Gladsaxe har lækkede følsomme data om 20.000 personer - til uvedkommende - og havde samtidigt ikke tilbørligt sikret lækkede sine følsomme data mod evt. misbrug (brugt kryptering).

Hvordan, hvorfor, hvorhenne og hvorpå er alene af akademisk interesse for overbetalte advokater - du er gravid.

  • 1
  • 0
Lars Christensen

At Gladsaxe kommune kan få godkendelse fra Datatilsynet af deres handlemønstre mht. overtrædelse af GDPR, viser med stor tydelighed at Datatilsynet ikke er opgaven voksen.
En simpel gennemgang af GDPR viser at personhenførdata SKAL beskyttes med de til enhver tid (økonomisk og arbejdsmæssige) rimelige foranstaltninger. En simpel kryptering koster ikke meget pr. enhed for en kommune af Gladsaxes størrelse og en kryptering tager heller ikke ret lang tid at foretage.
Jvf GDPR er er absolut ingen undskyldning der er god nok - især ved gentagelsestilfælde står der højt og tydeligt at straffen SKAL mangedobles - fordi det SKAL opfattes som organiseret overtrædelse.
At Gladsaxe kommune får lov til denne adfærd er helt ude i hampen.

  • 8
  • 0
Denny Christensen

Sag 1:

IT udstyr stjæles, kan man med rimelighed sige at dette udstyr er behørigt beskyttet? Alle virksomheder har IT udstyr der ved indbrud kan stjæles. Så er det op til virksomheden at have et rimeligt værn.

Sag 2:

Data, specielt persondata, uanset lagringsform skal beskyttes mod uønsket anvendelse. Dette være print der ikke ligger fremme på skriveborde, fysiske arkiver der er aflåst på passende tidspunkter og elektroniske der krypteres og ellers beskyttes mod misbrug.

Ad 1:

Det er naturligvis en sag imellem kommunen og forsikringsselskabet. Er dyrt udstyr behørigt beskyttet? Hvis nej, ingen udbetaling.

Ad 2:

Her er der ingen undskyldning for ikke at have fornuftige (lovpligtige) foranstaltninger for at beskytte data.
Regler om ikke at have papir med fortrolige data liggende frit fremme, arkiv skabe aflåses når de ikke er under opsyn og data krypteres på pc harddiske og beskyttes ellers af antivirus, password, rolle/rettigheder etc.
Det virker ikke som om en ellers simpel foranstaltning som kryptering af harddiske på pc'er er gennemført - sikkert heller ikke på eks. SQL databaser på lokale maskiner så her har IT afdelingen snork sovet.

  • 2
  • 0
Heino Svendsen

men for de ramte er forskellen ikke ret stor, synes jeg.

Det kommer an på fra hvilken side, man ser sagen:

Fra den ramte: "Data er ude i det fri, og jeg er rimelig ligeglad hvordan, det skete. De er ude!"

Fra Gladsaxes side: "Hvis der er tale om en kriminel handling, er det ikke vores skyld!"... "Hvis det derimod er os, som har lavet noget forkert, hænger vi på ansvaret... Derfor er det en kriminel handling og ikke vores skyld!"

Kriminel handling vil "frikende" Gladsaxe kommune og evt. kunne give en symbolsk erstatning, hvis det kan bevises, at det har medført gene.

Et eksempel på sløseri fra kommunens side ville kunne medføre krav om at place et ansvar og muligvis ikke medføre erstatning.

  • 0
  • 0
Anne-Marie Krogsbøll

Heino Svendsen:
Ja, men det er tydeligt, at Gladsaxe har sjusket - derfor er det usmageligt, at man forsøger at omformulere til "tyveri". At data er blevet stjålet, gør ikke sjusket mindre - det forstærker derimod forsømmeligheden.

Når Gladsaxe går ud i et tweet, så henvender de sig til borgerne, ikke til forsikringsselskab, Datatilsynet eller retsvæsne. Så er det pinligt og upassende, at man forsøger at løbe fra ansvaret for, at man har sjusket. For det har man.

  • 5
  • 0
Log ind eller Opret konto for at kommentere