Kæmpe brøler i Køge Kommune: Mindreårig piges hemmelige adresse røbet i Aula

Illustration: Kombit
Koks i samspillet mellem offentlige myndigheder og it-systemer har betydet, at en far har fået adgang til sin biologiske datters adresse via Aula, selvom datteren sammen med sin plejefamilie lever under adressebeskyttelse.

En mindreårig pige i folkeskolealderen i Køge Kommune har været adressebeskyttet, så hendes biologiske far ikke har kunnet finde hende, men alligevel har manden kunnet logge på skolernes og forældrenes kommunikationsplatform, Aula, og finde ud af, hvilken skole hun går på, hvor hun bor, og hvem plejeforældrene er.

Manden har også kunnet se pigens skema og andre oplysninger.

»Det her er en ret alvorlig fejl. En af de fejl, som helst ikke skulle ske,« siger Claus Laursen Trenckner, sekretariatschef i Børne- og Uddannelsesforvaltningen i Køge Kommune.

Han udtaler sig ikke om forholdene omkring barnet i det konkrete tilfælde, men nævner, at børn i kommunen i værste tilfælde er adressebeskyttede på grund af risikoen for eksempelvis æresdrab.

Men det fremgår af en aktindsigt, som Version2 har fået hos Datatilsynet, at man i den konkrete sag har taget forholdsregler:

»Skole og plejefamilie er sat i øget beredskab i tilfælde af, at far benytter informationerne til at opsøge datteren.«

Skolen i Køge Kommune blev i midten af januar orienteret af pigens plejemor, der kunne se, at den biologiske far havde forladt en beskedtråd i Aula.

Fejlen ligger ifølge Christian Holm, der er Aula-konsulent i Køge Kommune, i dataflowet fra cpr-registeret til Aula via administrationssystemet KMD Elev.

Her har en forkert opsætning i KMD-systemet givet den biologiske far forkerte rettigheder i Aula.

»Det er en stor omkostning på grund af et flueben. Mange kunne have gjort noget: Kombit og KL, KMD som administrativ leverandør, og vi kommuner har lavet hele arkitekturen, men ingen har været opmærksomme på det,« siger Christian Holm.

»Vi kan ikke løbe fra, at vi som kommune står tilbage som dataansvarlig,« siger han og oplyser, at Køge Kommune har været i kontakt med KMD for at finde en løsning, så dataflowet kan automatiseres, uden at der sker fejl.

KMD: »En menneskelig fejl«

Når der sker ændringer i forhold til forældremyndigheden, så modtager KMD Elev et advis fra cpr-registeret om, at der er sket ændringer.

Adviset vises i opstartsbilledet Elev, og her skal brugeren af programmet, typisk en skolesekretær, tage stilling til, om der stadigvæk skal overføres de samme data til brug for brugeradministrationen hos Styrelsen for It og Læring (STIL) og dermed til Aula.

»Der er ikke noget nyt i den her proces, og det har fungeret sådan de seneste mange år,« siger Jan Gaardboe Jensen, vice president i KMD.

»Der er altså tale om en menneskelig fejl, hvor der ikke er fjernet flueben på det pågældende advis,« siger Jan Gaardboe Jensen.

Han bekræfter, at der efterfølgende har været en dialog med Køge Kommune om, hvorvidt det kan være smart at ændre i systemet, så systemet foreslår, at fluebenene fjernes automatisk.

Han siger, at der dog stadigvæk skal være mulighed for at beholde dem, da der kan være gode grunde til, at man ønsker data overført til brugeradministrationen.

I Køge Kommune håber man på, at ændringen implementeres i den nærmeste fremtid.

»Hvis det står i cpr-registeret, at en forælder ikke har forældremyndigheden, så ville det være rart, hvis KMD Elev ændrede fluebenene automatisk. Som dataansvarlig vil jeg meget gerne have en så automatiseret løsning som muligt for at undgå de manuelle processer, hvor menneskelige fejl opstår,« siger Christian Holm fra Køge Kommune.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Mogens Lysemose

Det undrer at man ikke har indset dette ved en risikovurdering ved at give automatiseret adgang til potentielt følspmme persondata!

Det er en fejl i et andet system, ja, men det bliver jo mere alvorligt af at Aula giver alle forældre m.m. automatiseret adgang til alle de data, som kan være særligt følsomme.

Man kan jo ikke bare slette informationerne fra den potentielt farlige fars hukommelse igen!

Godt arbejde, v2!

  • 17
  • 0
#5 Bjarne Nielsen

Det virker til, at Aula er et system, hvor det er for nemt at begå fejl, og hvor de fejl, som kan begås, hurtigt kan få slemme konsekvenser.

Hvis det havde været en fysisk maskine, hvor det var så nemt at komme til at lave en maskinsnedkerhånd, så ville det falde strakspåbud og sanktioner. Og selvom ingen ønsker sig sådan en, så er det næppe i nærheden af, at være så ødelæggende for ens liv, som det Aula her medvirker til. Og så er jeg sådan set ligeglad med, om man måske slap med skrækken eller ej.

Fra artiklen:

»Der er altså tale om en menneskelig fejl, ...« siger Jan Gaardboe Jensen.

Det er det også, når nogen får pølserne i en uafskærmet båndsav! Skulle det gøre det spor bedre?

Aula ikke mange måneder på bagen endnu, men desværre er dette ikke den første sag, hvor de børn, som vi afleverer til skolen, har kunnet komme i klemme. Og det er af en eller anden grund er det hovedsageligt de svage og de udsatte børn, som det går mest ud over.

Og for hvad? For at man nemt at skrive rundt og spørge om, om Sofies designervanter mon er kommet med nogle andre hjem ved et uheld? For at politikerne og forskerne nemmere kan overvåge de små, og se om deres mange eksperimenter virker? For at spare nok timer til, at der kan laves endnu flere undersøgelser og indberetninger til at føde resten af systemet? Er der da ikke nogen, som tænker på de stakkels udsatte børn?

For det virker til, at udviklingen er løbet fra os. Det er ikke kun Aula, som er blevet så stort og så komplekst og så integreret, at vi ikke kan overskue det længere. Hvorfor er det, at vi stadig insisterer på at lave systemerne endnu bredere og endnu dybere og endnu mere forbundne, når vi så tydeligvis ikke formår at erkende og dermed overskue og håndtere de problemer, som det skaber? Problemer som kun multipliceres i alvorlighed, ved at systemerne bliver endnu bredere, endnu dybere og endnu mere forbundne.

...og man kan ikke sige nej, for man bliver end ikke spurgt. Især ikke, hvis man er udsat, for så er der endnu flere systemer klar til en.

  • 42
  • 0
#6 Claus Bobjerg Juul

Skole og plejefamilie er sat i øget beredskab i tilfælde af

Hvad skal Skole og plejefamilien dog gøre mod en mand der møder op på adressen, skal de evt sætte liv og lemmer over styr og begå selvtægt, der det det som kommunen opfordre til?

Hvad jeg været en del af plejefamilien, havde jeg nok installeret alt muligt værn og sendt regningen til kommunen, de er trods alt erstatningsansvarlige.

  • 11
  • 1
#7 Lars Røssell

»Der er ikke noget nyt i den her proces, og det har fungeret sådan de sidste mange år,« siger Jan Gaardboe Jensen, vice president i KMD.

»Der er altså tale om en menneskelig fejl, hvor der ikke er fjernet flueben på det pågældende advis,« siger Jan Gaardboe Jensen.

Han bekræfter, at der efterfølgende har været en dialog med Køge Kommune om, hvorvidt det kan være smart at ændre i systemet, så systemet foreslår at fluebenene fjernes automatisk

Han siger, at der dog stadigvæk skal være mulighed for at beholde dem, da der kan være gode grunde til, at man ønsker data overført til brugeradministrationen."

Den sætning som mangler er "Vi sørger for at det ikke sker igen ved at ..."

  • 15
  • 0
#8 Simon Mikkelsen

Menneskelig fejl er ingen undskyldning. Mennesker laver fejl og der er computerne nød til at hjælpe dem.

Ét menneske bør aldrig bringes i en position hvor man kan lave sådan en fejl!

Tag bare Britta-sagen hvor en svag sjæl blev fristet, fordi man med vilje fraveg almindelig revisionspraksis etableret gennem århundreder, og det ødelagde meget for både hende og andre.

Man kan komme med argumentet hvis 2-3 mennesker har lavet fejl i en opsætning eller første indtastning, men i dette tilfælde findes data og så skal det ske automatisk. Det koster nogle penge men det er en del af at gøre det rigtigt.

Det blev fint påpeget til sidst i artiklen:

I Køge Kommune håber man på, at ændringen implementeres i den nærmeste fremtid.

»Hvis det står i CPR-registeret, at en forælder ikke har forældremyndigheden, så ville det være rart, hvis KMD Elev ændrede fluebenene automatisk. Som dataansvarlig vil jeg meget gerne have en så automatiseret løsning som muligt for at undgå de manuelle processer, hvor menneskelige fejl opstår,« siger Christian Holm, der er Aula-konsulent i Køge Kommune.

  • 17
  • 1
#9 Stig Christensen

Hvis jeg havde hemmelig adresse, så ville jeg da forvente at jeg helt kunne undgå at min adresse skulle stå i et system som Aula, hvorfor skulle det være nødvendigt? At stole på at en travl skoleadministration kan håndtere rettighedsstyrringsflag er jo helt hen i vejret, når den sikre løsning er slet ikke at lade systemet kende adressen.

  • 20
  • 0
#10 Stig Christensen

Så i Aula burde der kun være én som kan pille ved adressebeskyttelsesflaget, nemlig mig selv. Default må være "beskyttet". Så kan det godt være det bliver lidt svære at lave legeaftaler.

  • 9
  • 0
#11 Bjarne Nielsen

Ét menneske bør aldrig bringes i en position hvor man kan lave sådan en fejl!

For nogen tid siden var der historien om endnu et flueben og endnu en menneskelig fejl (frit efter hukommelse):

En læge kommer ved en fejl til at sætte flueben ud for "afdød" i journalsystemet. Han opdager dog nogenlunde hurtigt sig fejl, og får det fjernet igen.

Men på det tidspunkt er der sendt besked til CPR. Det er jo fin effektivisering. Og CPR sender informationen videre til forsikringsselskaber og banker mv., så de kan lukke konti og meget andet. Meget effektivt. Meget tidsbesparende.

Men får CPR besked om, at afdøde ikke er død, når lægen fjerner fluebenet. Næ, det er der ingen, som har tænkt over. Så det må den stakkels patient, hvis offentlige digitale dobbelgänger nu er død, selv kontakte CPR om.

Og kontakter CPR så alle dem, som abbonerer på dødsoplysninger. Næh, det må patienten selv kæmpe med, og det tager tid, for først skal det lige opdages, og så skal man ellers til at ringe og skrive breve og fremsende dokumentation.

Lægen har selvfølgelig sagt undskyld, men det er ingen af systemerne, som har.

Jeg tror faktisk at hun i dag tager rundt i landet og holder foredrag om oplevelserne.

Automatiske flueben og halv-integrerede systemer er farlige!

  • 17
  • 1
#12 Henrik Biering Blogger

Så i Aula burde der kun være én som kan pille ved adressebeskyttelsesflaget, nemlig mig selv. Default må være "beskyttet". Så kan det godt være det bliver lidt svære at lave legeaftaler.

Det er heldigvis det, der lægges op til i det ny udspil til datastrategi fra EU, der går ud på at sætte mennesket/befolkningen i centrum, bl.a. med reference til MyData bevægelsen. Som bevidst modsætning til USA er de største virksomheder, der kontrollerer dataflow, og hvor Danmark med flere EU lande er godt på vej i retning mod Kina, hvor det er staten.

Det bliver spændende at observere om de danske myndigheder nu vil skifte kurs eller forsøge at lave benspænd for den ny retning, EU lægger op til.

  • 10
  • 0
#13 Jens Beltofte

Automatiske flueben og halv-integrerede systemer er farlige!

Helt enig. Når vi snakker det at erklære en person død i et EPJ-system burde det være et flow med indbyggede kontroller som lægen skal igennem og ikke blot en enkelt checkbox eller knap. F.eks. at lægen skal bekræfte CPR-nummer og navn. Alternativt at en anden person skulle godkende en sådan ændring i EPJ. Endeligt bør der jo bygges en forsinkelse ind ved sådanne handlinger, så systemer der abonnerer på en sådan ændring først får det at ide efter X timer, så det er plads til at annullere ændringen før det går galt....

  • 13
  • 0
#14 Jan Heisterberg

For lige at fortsætte analogien: hvis der bliver konstrueret et nyt værktøj / værktøjsmaskine, så får den per lovkrav, tradition og sund fornuft indbygget beskyttelse - som kan være skærme (save) eller dobbelt-hånd udløsning (stanse og skæremskiner).

Hvad står der mon i kravene til det nye AULA-system vedrørende denne type beskyttelse af kritiske person-oplysninger ? Er det en (grov) designfejl ? - hvis der står "flueben slettes" så er det jo værre end direkte dumt (mere beskrivende ord findes, men så ligner det injurier) - hvis der stod "flueben overføres automatisk, men kan slettes" så er det jo - som det har vist sig - mildest talt dumt - hvis der havde stået "flueben kan kun sættes ved dobbelt-kontrol (to forskellige medarbejdere" så havde det været professionelt og gennemtænkt.

Fejlen kan ikke rettes og kan ikke undskyldes. Måske kan man håbe (suk, håbet er lysegrønt), at der sker en kritisk revision af processerne som skal beskytte denne type persondata, hvor fejl er uoprettelige. Mon ikke en begavet DJØFer kan lave en liste over fejl som er uoprettelige: - hemmelig adresse - beskyttet adresse - navneændring - forældremyndighed - xxxxxxx - - yyyyyy OG grundige it-specialister derefter kan dokumentere og rette HVOR disse oplysninger er udsat for kompromiteringsrisiko ?

P.S.: Helt uafhængigt af denne sag kan jeg gengive første del af en besked een af mine sønner har fået idag fra kommunen: "Vi har idag modtaget orientering om, at det i forbindelse med en national opdatering af Aula har været muligt for skolens Aula-brugere at fremsøge oplysninger om forældremyndighed for skolens elever.".

Det går RIGTIG godt !

  • 10
  • 0
#15 Jens Beltofte

Hvad står der mon i kravene til det nye AULA-system vedrørende denne type beskyttelse af kritiske person-oplysninger ? Er det en (grov) designfejl ?

Ved vi om det er en fejl i AULA eller nærmere den integration der er lavet fra KMD Elev videre til STIL og Aula hvor problemet ligger?

Hvis eleven har hemmelig adresse bør adressen vel aldrig skydes over til STIL / Aula og opbevares der?

Hvis skolen skal bruge elevens adresse kan de vel tilgå den i KMD Elev uden om Aula.

Måske jeg har misforstået sagen, men i mit hovede giver det ingen mening at skyde data over i STIL / Aula hvis det ikke direkte har en relevans i det system, og slet ikke så personfølsomme oplsyninger som en hemmelig adresse på et barn der er i pleje.

  • 8
  • 0
#17 Frithiof Andreas Jensen

Det bliver spændende at observere om de danske myndigheder nu vil skifte kurs eller forsøge at lave benspænd for den ny retning, EU lægger op til.

Indtil videre har sosserne taget æren for at EU ikke har noget budget og at Brussels er 'helt gakkelak' over at man forventer at der er en regning over Brexit :).

Trenden er lagt - Indtil at 'hullet' i reciprocitetens navn lukkes med penge taget fra den Danske landbrugstøtte.

  • 3
  • 0
Log ind eller Opret konto for at kommentere