Kommunalt booking-system har i årevis sendt borgeroplysninger til forkert mail

Illustration: ShendArt/Bigstock
Oplysninger om blandt andet tandbehandling af borgere er havnet i de forkerte hænder som følge af et forkert opsat booking-system.

Siden 2017 har et booking-system i Fredericia Kommune sendt mails til den forkerte adresse med det resultat, at oplysninger om eksempelvis en navngiven borgers eventuelle tilskud til tandbehandling er havnet i de forkerte hænder.

Kontorchef for Borgerservice i Fredericia Kommune Stephan Klavsen beklager fejlen, som kommunen blev opmærksom på i sidste uge.

»Vi er naturligvis meget ærgerlige over fejlen, som blev rettet straks, da vi blev gjort opmærksom på det, og er fuldt bevidst om vores ansvar i forhold til opbevaring og håndtering af personoplysninger,« skriver Stephan Klavsen i en mail.

Version2 blev gjort opmærksom på sagen af indehaveren af domænet fred.dk. Han har modtaget flere autogenererede mails sendt fra et system under Borgerservice i kommunen.

@fred.dk

De pågældende mails skulle være sendt til en adresse under @fredericia.dk og ikke @fred.dk

Indehaveren af fred.dk har sendt to eksempler på de autogenererede mails til Version2, hvor han har bortcensureret navnet på de berørte borgere.

I den ene mail fremgår det, at borgeren er ankommet klokken 11 til sit møde, og at emnet for mødet er tilskud til tandbehandling over 10.000 kroner.

I en anden mail fremgår det, at emnet for mødet er 'Pension/Ansøgning om enkeltydelse'.

Et eksempel på en af de fejlmails, indehaveren af domænet fred.dk har modtaget, som skulle have været sendt til en adresse tilhørende Fredericia Kommune. Illustration: Screenshot

De pågældende mails er sendt af systemet Workforce Planner, som kommunen anvender.

Stephan Klavsen forklarer, at kommunen årligt behandler 22.000 borgere i kommunens Borgerservicecenter og Ydelsescenter. Og i 14 tilfælde er en mail blevet sendt til den forkerte mailadresse for @fredericia.dk

Leverandøren af systemet, Edora, har undersøgt, hvad er der gået galt i de 14 tilfælde. Fejlen er - jævnfør mailen fra Stephan Klavsen - opstået, når borgere har henvendt sig til Borgerservicecentret, hvor de skulle have henvendt sig til Ydelsescentret.

»Flytningen af henvendelsen i Workforce Planner fra køen i Ydelsescentret til Borgerservicecentret har genereret de pågældende mails,« står der i mailen fra Stephan Klavsen, som fortsætter:

»Vores leverandør er stadig i gang med undersøgelserne, men den foreløbige konklusion er, at der er tale om menneskelig fejl, hvor der i forbindelse med opsætningen af systemet blev oprettet en forkert mailadresse. Edora er ved at gennemgå logs for at undersøge dette nærmere.«

Siden marts 2017

Den første fejlmail er udsendt 6. marts 2017, og den sidste mail er udgået 30. januar 2019. De 14 mails har indeholdt borgerens navn og det sagsområde, borgeren er blevet betjent indenfor, oplyser Stephan Klavsen.

»Hændelsen er indberettet til Datatilsynet, og vi har i samråd med vores DPO besluttet at underrette de berørte borgere om hændelsen. Samtidig er Edora ved at undersøge, hvordan man ved en øget validering af e-mail-adresser i systemet kan øge sikkerheden, så denne type brud ikke sker igen,« oplyser Stephan Klavsen.

Han oplyser også, at de 14 fejlmails ikke har indeholdt CPR-nummer.

Hvorvidt man foretrækker at få lækket CPR-nummer eller oplysninger om tilskud til tandbehandling på over 10.000 kroner er nok en smagssag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Gotfredsen

"De pågældende mails er sendt af systemet Workforce Planner, som kommunen anvender."

"Fejlen er jævnfør mailen fra Stephan Klavsen opstået, når borgere har henvendt sig til Borgerservicecentret, hvor de skulle have henvendt sig til Ydelsescentret."

Så det er altså enten "Workforce Planner" eller borgere der henvender sig til forkerte steder i kommunen, der er skyld i fejlen, at der bliver sendt en mail til "@fred.dk" og ikke til "@fredericia.dk"

Mage til vrøvl og ansvarsforflygtigelse skal man lede længe efter.

Det er kommunens og kun kommunens skyld.

Venlig (men arrig) hilsen
Erik Gotfredsen

  • 10
  • 0
Tommy Calstrup

Med mindre, du er en af dem, det er gået ud over.

Ja, de får besked om, at der er sket en utilsigtet hændelse, men hvad kan de bruge det til?

Der burde være en eller anden minimums bod, for den slags, som ikke bliver modregnet, i evt. offentlige ydelser!

Og så er der lige et tillægs spørgsmål: Hvornår gjorde indehaveren af @fred.dk første gang kommunen opmærksom på fejlen?

Hvis første kontakt var gennem Version2 i år, så burde vedkommende have et slag i rumpen for ikke at reagere hensigtsmæssigt på problemet!

  • 1
  • 4
Mogens Lysemose

Med mindre, du er en af dem, det er gået ud over.

I sammenligning med at Seruminstituttet, SSI, sendte alle cprnr + diagnoser for alle 2,3 mio danskere der har været i kontakt med sundhedssystemet på en ukrypteret CD-ROM til den kinesiske ambasade må det siges at være i den lettere ende. Og der var jeg helt sikkert med da jeg er "kunde" i sundhedsvæsnet. Men jeg hørte kun om det på version2...

I sammenligning med oversigtsliste med over 20.000 mistede persondataoplysninger som Gladsaxe mistede for nyligt er det også i den lette ende...
https://www.version2.dk/artikel/ansat-gemte-filer-lokalt-paa-pc-nu-ramme...

Hvis første kontakt var gennem Version2 i år, så burde vedkommende have et slag i rumpen

Jeg er meget uenig, modtageren bør ikke straffes for at kommunen sender 14 postkort med sundhedsoplysninger til den forkerte modtager.

Uanset om han forarges og involverer myndigherderne for at statuere et eksempel eller høfligt bruger tid på at få relevante person i kommunen til at anerkende problemet.

  • 5
  • 2
Tom Paamand

Version2 fik dette eksempel, da det nemt kunne dokumenteres. Fredericia har også sendt interne mails fra andre afdelinger til samme domæne, så de nævnte var blot et par jeg faldt over for en uges tid siden.

Det tal som kommunen angiver drejer sig om kun om et enkelt system, men deres ordblinde IT-medarbejder har åbenbart hjulpet andre. Samt i øvrigt yderligere et par lignende kommuner med Fred i navnet. I dagens post lå fx en "Vagtplan for marts" fra et andet sted.

Jeg er bagstopper på en række domæner, hvor jeg pt til fejlretning gemmer fejlskudte mails, der så automatisk slettes efter få dage. Jeg har hverken tid eller lyst til systematisk at lede efter og rette andres fejltagelser - blandt tusinder af spammails. Det er derfor kun hvor jeg tilfældigt snubler over den slags mails, at de bliver opdaget.

Ved sådanne tilfælde vurderer jeg om der er vedvarende fortrolighedsbrud, og har så mailet kommunen om problemet - men det hjælper som hovedregel ikke. Fredericia kontaktede jeg telefonisk, da jeg hurtigt fandt navnet på en relevant medarbejder, der høfligt ringede tilbage og sagde tak. Deres systemleverandør sendte så en testmail til den forkerte adresse, men har ikke kontaktet mig direkte.

  • 11
  • 0
Tommy Calstrup
  • 0
  • 0
Leif Neland

UTH-systemet er en success, fordi det fjerner "skyld" fra ligningen, og koncentrerer sig om at få uhensigtsmæssigheder frem i lyset.

Det er vigtigt at alle hændelser kommer frem, så det ikke gentager sig, fremfor at de bliver skjult i frygt for repressalier.

  • 5
  • 0
Log ind eller Opret konto for at kommentere