Gennem flere år er adskillige mails, der ellers skulle være endt hos xxx@randers.dk endt hos xxx@anders.dk på grund af simple slåfejl. Alt fra opsigelser til psykologregninger og informationer om løsladelse af fængselsfanger er endt hos en tilfældig borger ved navn Anders Lorensen.
Nogle data er sendt direkte fra Randers Kommunes medarbejdere, andre som følge af fejlsendte emails fra scannere/kopimaskiner på kommunen. Alt sammen dybt personfølsomt.
Da sagen rullede på Version2 i sommer, undrede det mange læsere, at Randers Kommune ikke havde handlet bedre for at stoppe lækket, nu hvor indehaveren af @anders.dk i flere omgange havde advaret kommunen om, at dybt følsomme mails endte i den forkerte indbakke.
Og da Version2 i sommer ringede til Randers Kommunes it-chef, Bent Højlund, fastholdt han, at han ikke var blevet informeret.
Hverken af Direktør for Social og Arbejdsmarked, Steinar Kristensen, som dengang blev advaret af Anders Lorensen om, at noget var galt, men heller ikke af hans daværende it-sikkerhedsansvarlige, Bent Rohde.
»Jeg er jo godt nok it-chef så jeg burde vide, det her var sket, men jeg har ikke hørt, det her skulle være et problem,« sagde den noget undrende it-chef, da Version2 ringede ham op i første omgang.
End ikke én de tre mails, ejeren af anders.dk havde sendt til Randers Kommune var nået helt hen til Bent Højlund som it-chef.
Det var ikke bare virkelig mærkeligt, men også forkert.
Nye informationer
Randers Kommune ønskede ikke, at Version2 tog kontakt til den nu pensionerede it-sikkerhedsansvarlige, Bent Rohde. Det skulle vi have gjort alligevel, men ikke desto mindre har Bent Rohde selv kontaktet Version2.
»Jeg er virkelig skuffet over den udtalelse, Bent Højlund gav til Version2. For som det også fremgår af vores databehandlingssystem, skrev jeg det ind i loggen dengang, og jeg informerede også både Datatilsynet og Bent Højlund,« siger Bent Rohde.
Det bekræfter Bent Højlund både i en mail til Bent Rohde, men også i et opfølgende interview med Version2:
»Jeg har haft lejlighed til at kigge i sagen, og den er kørt lige efter bogen, både med kontakt til Datatilsynet, da den opstod og så videre. Så Bent Rohde har gjort det bedste, han kunne,« siger Bent Højlund til Version2.
»Jeg kan stadig ikke huske noget med nogen sag, men det vil undre mig, hvis Bent Rohde ikke har sagt det til mig, for generelt fortalte han mig det, når der var noget. Og i sidste ende er det mit ansvar, så når han siger, han har sagt det her til mig er det nok sådan, det var,« fortsætter Bent Højlund.
»Det er ærgerligt og beklageligt.«
Under skarp kritik
Spørgsmålet er, om den procedure, Bent Rohde fulgte så var god nok, siden han fulgte den, men problemet med vildfarne mails alligevel bestod. Ikke desto mindre er og var det Bent Højlunds ansvar.
»Jeg vil ikke løbe fra mit ansvar. Set i bakspejlet blev jeg nok informeret tilbage i 2014 og det ærgrer mig, at vi ikke finder en løsning allerede der,« siger Bent Højlund.
I forbindelse med Version2’s artikler blev der også udtrykt skarp kritik af kommunens sløvhed i forhold til at stoppe det drypvise persondatalæk.
»Randers Kommune er en stor virksomhed. De har ressourcerne til at gøre noget ved det her, de har egen it-afdeling og burde på flere måder have mulighed for at undgå læk som dette. Modsat eksempelvis en lille tomandsvirksomhed,« siger advokatpartner og specialist i it-ret i DLA Piper, Jon Lauritzen, der mener, det er juridisk skærpende, at der er tale om en større kommune.
Selv sår Bent Højlund tvivl om, hvorvidt man kunne have gjort noget mere, dengang han blev informeret.
»Jeg ved ikke, om man dengang kunne have lave nogle af de tekniske løsninger, vi laver nu, men det ærgrer mig vi ikke undersøgte det til bunds,« lyder det fra Bent Højlund.
Har forsøgt at lappe hullet
Efter Version2’s artikelserie, som der er linket til ned gennem denne artikel, har Randers Kommune forsøgt at stoppe datalækket. Blandt andet har man blokeret mails fra Randers Kommune til alle @anders.dk-adresser.
Derudover kan man ikke sende mails til eksterne adresser fra kommunens printere længere.
Problemet er dog ikke løst helt. Borgere kan stadig fejlsende til @anders.dk, ligesom alle de andre domæner, der ligner @randers.dk stadig er åbne for kommunen medarbejdere.
»Uden at kende alle detaljerne i den aktuelle sag vil jeg mene, at det nytter meget lidt kun at blackliste anders.dk. Det er symptombehandling, og løser ikke hovedårsagen,« lød det det fra COO og sikkerhedskonsulent hos Improsec, Claus Vesthammer.
Sagen nåede da også op i Randers Kommunes økonomiråd, hvor Bent Højlund måtte redegøre for sagen og de forbedringer, han har forsøgt at gøre. Referatet af det møde kan læses her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
