Kommune sender helbredsoplysninger ukrypteret i hænderne på forkerte borgere

email helbred
Ved en menneskelig fejl blev der i Frederikshavn Kommune sendt personfølsomme oplysninger til forkerte borgere uden brug af kryptering. Datatilsynet finder det kritisabelt.

En medarbejder i Frederikshavn Kommune har afsendt en e-mail med blandt andet helbredsoplysninger om flere borgere til uvedkommende uden at anvende kryptering eller andre sikkerhedsforanstaltninger.

Fremsendelsen af de personfølsomme oplysninger har nu ført til en udtalelse fra Datatilsynet, som finder fejlene kritisable.

Læs også: Politikeren, professoren og privacy-forkæmperen: Sådan stopper vi myndigheders sløseri med borgernes persondata

Ifølge Datatilsynet lever kommunens behandling af personoplysninger i denne sammenhæng ikke op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens §41, stk. 3 samt sikkerhedsbekendtgørelsen.

De berørte borgere er på nuværende tidspunkt blevet informeret om uheldet.

Vil nu holde kurser og lave guides

Det er ikke første gang, at Datatilsynet kritiserer Frederikshavn Kommune.

Som Version2 tidligere har skrevet, har der været en vis lempelig tilgang til opdatering af sikkerhedsreglerne, da disse i for et år siden ikke var blevet opdateret i otte år. Ifølge Sikkerhedsbekendtgørelsen skal der ske en gennemgang af sikkerhedsreglerne en gang årligt.

Læs også: Kommune får datakritik: Lod sikkerhedsregler samle støv i 8 år

Derudover kom det frem, at der ikke blev foretaget kontroller af kommunens databehandlere, sådan som persondataloven ellers foreskriver.

Ifølge Datatilsynet har Frederikshavn Kommune på baggrund af Datatilsynets seneste kritik nu oplyst, at samtlige afdelinger i kommunen får undervisning i brug af sikker mail, at der bliver udarbejdet en guide til brugen af sikker mail, samt at kommunens jurist og informationsmedarbejder vil afvikle kurser i tavshedspligt og informationssikkerhed for alle ansatte i kommunen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (3)

Kommentarer (3)
Jan Heisterberg

Hvad er det som forhindrer en teknisk løsning ?

Hvorfor kan et kommunalt e-post system ikke have en trigger for potentielt fortrolig post som gennemtvinger e.g. kryptering eller forhindrer afsendelse ?

Personligt har jeg helt simpel kommunikation med min kommune, og den kræver hverken i henvendelse, spørgsmål eller svar særlig sikkerhed.

Men potentielt kan et svar jo blive fortroligt - MEN kan det ikke fanges hos kommunen så den menneskelige faktor elimineres ?

Er det så banalt, så en scanning af udgående tekst som finder et 10-cifret tal (med/uden bindestreg) bør antages at finde personnumre - som altid vil være fortrolige og være benyttet sammen med andre fortrolige data ? (helbred, penge)

Ditlev Petersen

Det er mere kompliceret. Man kan jo godt omtale en diagnose, uden at skrive et personnummer i en mail. Bare for at komme med et banalt eksempel. Og hvis man krypterer, så kan man forestille sig, at ret mange af modtagerne går i hva-ba? mode. Så krypteringen skal være så nem at bruge, at den for den rette modtager (og for afsenderen) er noget nær helt usynlig. Det kan mig bekendt godt laves, bare ikke så nemt oven på den klassiske e-mail.

Dvs. andre, der er kvikkere end mig, kan sikkert godt udtænke et sådant system. Om de så kan sælge det til regioner, kommuner og stat, er nok for meget at forlange. Man kan trække en kommune til vandtruget, men man kan ikke tvinge den til at agere.

Pauli Østerø

Er jeg i kraft af min ansættelse nødsaget til at køre en tur i firmabilen forventes der at

  1. Jeg har et kørekort
  2. Jeg ikke er beruset eller på anden måde ude af stand til at føre bilen forsvarligt.
  3. Hvis jeg kører overfor rødt eller gør skade på en anden bil er det min skyld - jeg kan ikke lægge ansvaret fra mig men må tage konsekvensen.

Så få dog for sørensen opstillet de samme forventninger til en medarbejder som i kraft af sit arbejde skal betjene en computer og sende emails til borgere.

Ansvar og konsekvens skal følges ad.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 10:55

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 10:28

Xena - an innovative force in testing next-generation communications technology

22. aug 2017