Pædagoger lagde cpr-numre og fravær på nettet

Oplysninger om cpr-numre og sygefravær for de ansatte i en børnehave på Fyn har ligget frit tilgængelig på Google. Leverandøren af børnhavens intranet overvejer nu at bygge sikkerhed ind i løsningen.

De ansatte i en fynsk børnehave fik sig for nylig en forskrækkelse, da personfølsomme oplysninger om dem lå frit tilgængelige og flød på børnehavens hjemmeside. Det skriver ekstrabladet.dk.

Konkret har de ansattes navne, cpr-numre og detaljerede oplysninger om sygefravær ligger frit tilgængeligt på internettet, selvom personaledelen af hjemmesiden er beskyttet med kodeord.

»Det er helt utroligt. Det er slet ikke meningen,« siger lederen af den fynske børnehave til ekstrabladet.dk.

Oplysningerne om de ansatte opbevares i PDF-filer, som altså kun burde være tilgængelige på børnehavens eget intranet. Men ifølge ekstrabladet.dk har alle og enhver kunnet finde frem til filerne med de rette søgeord på Google.

»Selvfølgelig har jeg en forventning om, at når man køber et system, der er lukket af, så er det også lukket,« siger børnehavelederen til ekstrabladet.dk..

Leverandøren af børnehavens webløsning, SmartWeb, er godt klar over, at sagen med børnehaven ikke ser godt ud. Men sikkerheden er ikke tænkt så langt i selskabets løsning, siger partner i SmartWeb, Rasmus Graversen.

»Så skal man i hvert fald lave det anderledes, end vi har gjort. Det er teknisk muligt, men bare ikke en del af den intranetløsning, vi tilbyder, siger Rasmus Graversen til ekstrabladet.dk.

EB: Hvorfor ikke?

»Det er et godt spørgsmål. Det er også noget, vi vil overveje at lave. Det ville være en god ide at lave, for så kommer man ikke ud for sådan noget her.«

Opdateret 12.48: Rasmus Graversen oplyser til Version2, at der ikke er tale om en intranetløsning, men derimod et cms, der gør det let at oprette hjemmesider, der i sagens natur gerne skulle være søgbare. Rasmus Graversen erindrer heller ikke at have brugt ordet intranetløsning over for Ekstra Bladet. Version2 følger op med en selvstændig kommentar fra Smartweb snarest.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Leverandøren af børnehavens intranet, SmartWeb, er godt klar over, at sagen med børnehaven ikke ser godt ud. Men sikkerheden er ikke tænkt så langt i selskabets løsning, siger partner i SmartWeb, Rasmus Graversen.

»Så skal man i hvert fald lave det anderledes, end vi har gjort. Det er teknisk muligt, men bare ikke en del af den intranetløsning, vi tilbyder, siger Rasmus Graversen til ekstrabladet.dk.

Eller sagt med andre ord: firmaet sælger et "intranet" produkt som gør det umuligt at overholde persondataloven.

  • 2
  • 1
Thomas Vestergaard

Eller sagt med andre ord: firmaet sælger et "intranet" produkt som gør det umuligt at overholde persondataloven.

Hvem siger, at det er et decideret "intranet" produkt? Udfra hvad der står på deres hjemmeside, så har de hhv. et CMS og et WebShop produkt. Man må formode at børnehaven har benyttet CMS'et.

Hvad der så er blevet lovet mht. at kunne lave en "lukket side", så er det tydeligt, at man ikke har forklaret sikkerhedsniveau'et ordenligt. (I.e. det kan holde børnene og de fleste af deres forældre ude, men er ikke sikkert nok til at beskytte personfølsomme oplysninger.)

  • 3
  • 0
Jacob Smedegård

Dokumenterne kan stadig findes på nettet.

Efter at have studeret EBs artikel i aftes lavede jeg en hurtig søgning og fandt dokumenterne. EBs artikel blev efter en mail hurtigt anonymiseret, men problemet er ikke løst på noget plan ud over at originalfilerne ikke længere er online :/

  • 0
  • 0
Lars Tørnes Hansen

Det kan hermed bekræftes. En hurtig søgning gav nogle dokumenter fra en kemi-virksomhed der efter deres mærkning ikke var tiltænkt offentligheden.

Har du advaret den kemi-virksomhed, eller nøjes du med at fortælle det til smartweb at deres CMS er hullet som en si?

Jeg har en dårlig vane med altid at tjekke offentlig tilgængelige computere jeg skal bruge i hoved og r** - i særdeleshed Internet Explorer indstillinger, som ofte er sat op til at gafle dit kodeord og brugernavn til de kodeordsbeskyttede websites du besøger fra den computer.

(Det er desværre min meget dårlige erfaring: Odense, Århus og Middelfart kommuner)

Nogle myndigheder kræver også at du har dit kodeord med til et bestemt, website - et kodeord de både ser, og indtaster på deres egen arbejdscomputer. Kodeordet ændrer jeg straks efter jeg er færdig med at samtale med den person.

Ingen identitetstyveri, tak.

Sikkerheden er så ufatteligt ringe ved det offentlige. Alene at afkræve CPR nr. for derefter at tro at du taler med den rigtige ejermand af CPR nummeret, viser hvor galt det står til.

  • 2
  • 0
Log ind eller Opret konto for at kommentere