Kombit om sjusket sløring af persondata: »Vi kan aldrig gardere os mod menneskelige fejl«

Illustration: Jesper Kildebogaard
På Kommunernes it-fællesskab Kombits åbne dokumentbibliotek kunne man finde en vejledning, der lækkede oplysninger om to borgere og deres forløb med kontanthjælp og fleksjob. I dette interview kommenterer Kombit sagen.

Kommunernes it-fællesskab Kombit har lækket private oplysninger om en kontanthjælpsmodtager og en fleksjobber samt andre borgeres navne og cpr-numre til offentligheden i næsten fire år.

Datalækket skete fra et frit tilgængeligt PDF-dokument oprettet og uploadet af Kombit til det åbne dokumentbibliotek share-komm.kombit.dk. Dokumentet indeholdt skærmbilleder fra et sagsbehandlingssystem, der viste cpr-numre og navne på 38 forskellige borgere i kommunen, som var streget over med en markering i PDF-filen.

Læs også: Cpr-numre og sociale forhold lækket i offentligt Kombit-dokument: Troede persondata var sløret

Derudover var der skærmbilleder af en sag om kontanthjælp til en mandlig borger og en sag om en kvindelig borgers fleksjob, hvor navne, adresser og cpr-numre også var streget over.

Men kopierede man skærmbillederne ind i et word-dokument, forsvandt overstregningerne, så personoplysningerne var fuldt synlige.

Vil tjekke om retningslinjer er gode nok

»Det er selvfølgelig en fejl, og det er en menneskelig fejl. Den person, som har lagt det her dokument ud, handlede i god tro og var af den overbevisning, at man ikke kunne se data bag en markering i et pdf-dokument,« siger Henrik Kirkeskov, der er presseansvarlig i Kombit.

Illustration: Skærmbillede / share-komm.kombit.dk

Hvordan kan det her ske?

»Det er som sagt en menneskelig fejl. Personen har handlet i god tro og troede, at markeringerne i pdf’en var lagt ind således, at man ikke kunne se data bag dem. Så det er en menneskelig fejl,« siger Henrik Kirkeskov.

Hvad for en it-sikkerhed er det udtryk for?

»Lad os starte med at sige, at der jo ikke er nogen, som er gjort opmærksomme på det her. Det er først nu, vi bliver gjort opmærksomme på det, og i det øjeblik vi bliver gjort opmærksom på, at her er der en sikkerhedsbrist, så agerer vi på det med det samme. Men dokumentet har ligget der i lang tid, og det er først nu via et anonymt tip til jer, at vi bliver gjort opmærksomme på det, og selvfølgelig agerer vi med det samme for at få rettet op på det.«

Har I nogen særlige retningslinjer i forhold til at sløre personoplysninger i frit tilgængelige dokumenter?

»Vi lægger selvfølgelig ikke cpr-numre ud, det er vores grundregel. Og her er der så sket en menneskelig fejl, at de ikke er blevet sløret godt nok, så nu går vi alle vores dokumenter igennem for at finde ud af, om der er lignende dokumenter. Det håber vi ikke, at der er.«

Hvad vil I gøre fremover, for at det her ikke sker igen?

»Vi gør flere ting. For det første tjekker vi alle dokumenter igennem nu, og vi har lukket dokumentbiblioteket. Så går vi ind og tjekker dokumenterne igennem, og efterhånden som vi får tjekket de enkelte områder igennem, kan vi åbne dem op igen. Og så indskærper vi selvfølgelig overfor vores organisation, hvordan man skal lægge dokumenter ud på det her dokumentbibliotek, således at vi ikke kommer til at havne i den samme situation,« siger han og tilføjer:

»Vi har allerede nogle retningslinjer, og dem skal vi se, om er gode nok, og det er de åbenbart ikke. Men nu er det lang tid siden, at det her dokument blev lagt ud, så der er sket noget i mellemtiden med retningslinjerne. Vi tjekker vores retningslinjer igen, og hvis der er et behov for at skærpe de retningslinjer for, hvordan vi lægger dokumenter ud på vores dokumentbibliotek, så får vi selvfølgelig indskærpet det.«

Ved I, om det her dokument ligger andre steder end i jeres Sharepoint?

»Det gør det ikke. Det burde det ikke gøre. Altså vi har ikke kendskab til, at det ligger andre steder,« siger Henrik Kirkeskov.

Det var en »smutter«

Efter første ovenstående interview viste det sig, at der fandtes to andre uploads af dokumentet. De lå henholdsvis på Kombits egen hjemmeside kombit.dk og på et russisk-ejet site docplayer.dk. Og var begge stadig online tirsdag morgen.

Dokumentets titel kunne søges frem på Google, hvilket ikke var sket i første omgang.

»Lige med hensyn til den Google-søgning, der må vi bare sige, at den er smuttet. Der er ikke så meget mere at sige til det,« siger Henrik Kirkeskov, sekunderet af Kombits databeskyttelsesrådgiver Charlotte Gall, i et opfølgende interview.

»Vores folk ved jo godt, at det er en god idé at søge på Google for at se, om dokumentet ligger andre steder. Vi fik bare sat rigtig mange ting i gang i går, og i hele det arbejde - hvor der var virkelig mange ressourcer involveret, vi tager jo det her dybt alvorligt - der smuttede den,« siger han.

Lukket dokumentbibliotek ville måske kunne begrænse fejl

Det omtalte upload på den eksterne tjeneste, docplayer.dk, blev fjernet, efter Kombit kontaktede sitet.

Henrik Kirkeskov oplyser, at det ikke er Kombit, der har uploadet til docplayer.dk, og at det ikke har været muligt at afdække, hvem der står bag uploadet.

Er det et problem, at der ligger så mange dokumenter frit tilgængelige for alle?

»Det er altid en afvejning af, at kommunerne og vores leverandører har brug for en masse dokumenter i deres arbejde med vores løsninger og så hensynet til, at vi ikke skal have personoplysninger til at ligge ude på nettet,« siger Henrik Kirkeskov.

Kunne man ikke gøre det på en smartere eller mere sikker måde?

»Det kan godt være. Det vil vi også kigge på nu: om vi kan lægge nogle dokumenter til kommunerne ind bag en portal, som kun kommunerne har adgang til,« siger han og tilføjer:

»Vi arbejder blandt andet i forbindelse med GDPR på, at oplysninger ikke slipper ud, men der kan så ske nogle menneskelige fejl, hvor det smutter. Og der kan det da godt være, at man kan begrænse det ved, at man laver nogle sider, hvor det kun er de relevante medarbejdere fra kommunerne, der kan logge ind. Så det vil vi da kigge på.«

God nok it-sikkerhed?

Henrik Kirkeskov konkluderer, at man aldrig kan gardere sig helt mod menneskelige fejl.

Hvorfor ikke?

»Det er jo personer, det er dig og mig, som sidder og arbejder med ting, og det kan jo være, at du handler efter din bedste overbevisning, men du kan altid komme til at lave en fejl. Det kan være i et skærmdump, hvor du får lavet en fejl, selvom du godt ved, at der er nogle klare procedurer for området,« siger han og fortsætter:

»Og det her er en menneskelig fejl. Personen handlede i god tro og troede, at de data var dækket af, og det var de så åbenbart ikke. Jeg mener ikke dermed, at man kan konkludere, at vores generelle datasikkerhed ikke er god nok, for det er den.«

Henrik Kirkeskov fortæller, at Kombit nu vil indberette sagen til Datatilsynet og i øvrigt underrette de borgere, der er berørt af datalækket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Jeg har svært ved at forstå, hvorfor man overhovedet lægger den type dokumenter offentligt tilgængeligt ud, uanset sorte bjælker eller ej. Man får indtryk af, at de simpelthen ikke tager persondataproblemet alvorligt nok...

Hvad kan de mon mere finde på at gøre?

  • 8
  • 2
Morten Poulsen

Når man som organisation har at gøre med personfølsom data skal man sørge for, at al offentliggørelse af dokumenter med den type data er anonymiseret.

Det gøres gennem en veldokumenteret process, der indeholder både vejledning i hvordan man faktisk sletter den type data, og helst også et andet sæt øjne, der verificerer, at dokumentet er anonymiseret.

At man hos Kombit ikke har den type processer er ikke et udtryk for en "menneskelig fejl", men derimod udtryk for manglende ansvarlighed hos Kombit som organisation.

  • 17
  • 0
Erik Jacobsen

Det er nemlig en ledelsmæssig og organisatorisk fejl at tillade manuelt redigerede regneark med personoplysninger og lignende, overhovedet at blive offentliggjort.

Det er velkendt at der ofte er fejl i regneark, og at det notorisk er vanskeligt at verificere, hvilke oplysninger man kan hente fra regnearket.

Derfor er det en simpel procedure at forbyde det.

Det kan give god mening at offentliggøre regneark med data, men så skal de være genererede til formålet, af systemer hvor man har styr på hvilke data, der må medtages. Bevares - det tager nok lidt længere tid.

  • 10
  • 0
Bjarne Nielsen

Hvorfor tager man screenshot af produktionssystemet, og ikke det system, som bruges til udvikling, test og uddannelse?

Eller er der tale om at man ikke har konstruerede data i førnævnte systemer, men bruger en kopi af rigtige produktionsdata? Det formål er der næppe samtykket til.

Ideen om at bruge rigtige data og så maske dele af det af, er forkert på så mange måder, og ikke bare fordi at mennesker må forventes at lave menneskelige fejl.

  • 7
  • 0
Anne-Marie Krogsbøll

Hvorfor tager man screenshot af produktionssystemet, og ikke det system, som bruges til udvikling, test og uddannelse?


Ja, det var også min tanke, Bjarne Nielsen. Der er tale om en vejledning. Hvorfor i alverden har man ikke bare brugt en tom formular, og udfyldt med fiktive oplysninger? Jo mere jeg tænker over det, jo mere undrer jeg mig.

Har man ikke nogen standarder/regler/vejledninger om, hvordan vejledninger udformes?

OG: Hvorfor har Kombit-medarbejder-vejledningsudvikleren overhovedet adgang til disse personers private oplysninger? Er vedkommende sagsbehandler på disse sager, eller hvad kommer de ham/hende ved?

Umiddelbart forekommer det mig, at der må være mere en ét læk i denne sag, for havde denne medarbejder overhovedet lovlig adgang til disse data?

  • 8
  • 0
Mogens Lysemose

Den fysiske analogi til dette er jo at man skjuler data ved at sætte postit-lapper på.
Det kan jo være godt nok hvis man bagefter tager kopi af resultatet og destruerer originalen med persondata...

Tænk at dem der laver brugervejledning til Kombit-systemer med persondata i har så lidt forståelse for de værktøjer man bruger - formodentlig Word og Adobe Acrobat som konverterer Word til PDF-fil med de tilsvarende objekter i (billede hhv. sort firkant hver for sig).

Så svært at det jo altså ikke at lave en sort firkant i en flad bitmap hvor persondata er overskrevet og væk. Selv MS Paint kan det.

  • 3
  • 0
Henrik Biering Blogger

Tænk at dem der laver brugervejledning til Kombit-systemer med persondata i har så lidt forståelse for de værktøjer man bruger - formodentlig Word og Adobe Acrobat som konverterer Word til PDF-fil med de tilsvarende objekter i (billede hhv. sort firkant hver for sig).


Når man i Adobe Acrobat kan dække uønsket indhold til, forekommer det rimeligt databeskyttelses- og forretningshemmeligheds-problematisk at man ikke ved efterfølgende gemning får et klart valg mellem at gemme alt eller kun gemme det synlige dokument ("flattened").

Det er faktisk endnu værre, for Adobe har lavet en (meget indviklet) funktion og vejledning til flattening, som jeg trods flere forsøg med variation af indstillinger ikke har kunnet få til at virke til at fjerne hverken tildækket tekst eller billeder, som beskrivelsen ellers klart lover.

  • 8
  • 0
Axel Nielsen

Det er vel ret sigende at der lidt længere nede på siden er angivet nogle informationer omkring hvordan man bærer sig ad på Windows Vista/7...

Er blevet træt af Adobe for snart længe siden Acrobat - Og har også mange supportsager på deres Reader, fordi den også er totalt uigennemskuelig for alm. brugere.

De fleste steder har jeg installeret Foxit i stedet - Det giver gladere kunder...

  • 2
  • 0
Gert G. Larsen

Fra første side i pågældende PDF:

Der er 2 vigtige grunde til oprydning af sager i KMD Sag.
Kommunen betaler for de aktive sager, en oprydning kan udgøre store besparelser. Én sag koster
27,65 øre pr. sag pr. md.
Kommuner der kan undvære brugen af manuelle sager, kan spare 10% af den årlige udgift på KMD
Sag

Nååh, så det er af økonomisk vigtige grunde. Pyt med borgernes data?

Det er jo ikke en menneskelig fejl her er data om. Det er fundamental sløseri med data. Det er helt skæve ting de har fokus på.

  • 3
  • 0
Lars Christensen

Lige siden PC'en kom frem har det været en regel, at dokumenter skulle tjekkes både før og efter redigering.
En vis statsminister fik engang ørerne i maskinen, fordi han glemte at rense oprindelsen af sit unikke indlæg - som tilfældigvis var skrevet af en anden.
Hvis en virksomhed ikke evner at opdaterede sine forretningsgange, således at de er sunde og fornuftige - så ber virksomheden selv om problemer - det kan ALDRIG være de ansattes skyld!

  • 0
  • 0
Log ind eller Opret konto for at kommentere