Kommune sender helbredsoplysninger ukrypteret i hænderne på forkerte borgere

Ved en menneskelig fejl blev der i Frederikshavn Kommune sendt personfølsomme oplysninger til forkerte borgere uden brug af kryptering. Datatilsynet finder det kritisabelt.

En medarbejder i Frederikshavn Kommune har afsendt en e-mail med blandt andet helbredsoplysninger om flere borgere til uvedkommende uden at anvende kryptering eller andre sikkerhedsforanstaltninger.

Fremsendelsen af de personfølsomme oplysninger har nu ført til en udtalelse fra Datatilsynet, som finder fejlene kritisable.

Læs også: Politikeren, professoren og privacy-forkæmperen: Sådan stopper vi myndigheders sløseri med borgernes persondata

Ifølge Datatilsynet lever kommunens behandling af personoplysninger i denne sammenhæng ikke op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens §41, stk. 3 samt sikkerhedsbekendtgørelsen.

De berørte borgere er på nuværende tidspunkt blevet informeret om uheldet.

Vil nu holde kurser og lave guides

Det er ikke første gang, at Datatilsynet kritiserer Frederikshavn Kommune.

Som Version2 tidligere har skrevet, har der været en vis lempelig tilgang til opdatering af sikkerhedsreglerne, da disse i for et år siden ikke var blevet opdateret i otte år. Ifølge Sikkerhedsbekendtgørelsen skal der ske en gennemgang af sikkerhedsreglerne en gang årligt.

Læs også: Kommune får datakritik: Lod sikkerhedsregler samle støv i 8 år

Derudover kom det frem, at der ikke blev foretaget kontroller af kommunens databehandlere, sådan som persondataloven ellers foreskriver.

Ifølge Datatilsynet har Frederikshavn Kommune på baggrund af Datatilsynets seneste kritik nu oplyst, at samtlige afdelinger i kommunen får undervisning i brug af sikker mail, at der bliver udarbejdet en guide til brugen af sikker mail, samt at kommunens jurist og informationsmedarbejder vil afvikle kurser i tavshedspligt og informationssikkerhed for alle ansatte i kommunen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Jan Heisterberg

Hvad er det som forhindrer en teknisk løsning ?

Hvorfor kan et kommunalt e-post system ikke have en trigger for potentielt fortrolig post som gennemtvinger e.g. kryptering eller forhindrer afsendelse ?

Personligt har jeg helt simpel kommunikation med min kommune, og den kræver hverken i henvendelse, spørgsmål eller svar særlig sikkerhed.

Men potentielt kan et svar jo blive fortroligt - MEN kan det ikke fanges hos kommunen så den menneskelige faktor elimineres ?

Er det så banalt, så en scanning af udgående tekst som finder et 10-cifret tal (med/uden bindestreg) bør antages at finde personnumre - som altid vil være fortrolige og være benyttet sammen med andre fortrolige data ? (helbred, penge)

Ditlev Petersen

Det er mere kompliceret. Man kan jo godt omtale en diagnose, uden at skrive et personnummer i en mail. Bare for at komme med et banalt eksempel. Og hvis man krypterer, så kan man forestille sig, at ret mange af modtagerne går i hva-ba? mode. Så krypteringen skal være så nem at bruge, at den for den rette modtager (og for afsenderen) er noget nær helt usynlig. Det kan mig bekendt godt laves, bare ikke så nemt oven på den klassiske e-mail.

Dvs. andre, der er kvikkere end mig, kan sikkert godt udtænke et sådant system. Om de så kan sælge det til regioner, kommuner og stat, er nok for meget at forlange. Man kan trække en kommune til vandtruget, men man kan ikke tvinge den til at agere.

Pauli Østerø

Er jeg i kraft af min ansættelse nødsaget til at køre en tur i firmabilen forventes der at

  1. Jeg har et kørekort
  2. Jeg ikke er beruset eller på anden måde ude af stand til at føre bilen forsvarligt.
  3. Hvis jeg kører overfor rødt eller gør skade på en anden bil er det min skyld - jeg kan ikke lægge ansvaret fra mig men må tage konsekvensen.

Så få dog for sørensen opstillet de samme forventninger til en medarbejder som i kraft af sit arbejde skal betjene en computer og sende emails til borgere.

Ansvar og konsekvens skal følges ad.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017