Reportage

Kommunalt booking-system har i årevis sendt borgeroplysninger til forkert mail

4. marts 2019 kl. 05:1113
Kommunalt booking-system har i årevis sendt borgeroplysninger til forkert mail
Illustration: ShendArt/Bigstock.
Oplysninger om blandt andet tandbehandling af borgere er havnet i de forkerte hænder som følge af et forkert opsat booking-system.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Siden 2017 har et booking-system i Fredericia Kommune sendt mails til den forkerte adresse med det resultat, at oplysninger om eksempelvis en navngiven borgers eventuelle tilskud til tandbehandling er havnet i de forkerte hænder.

Kontorchef for Borgerservice i Fredericia Kommune Stephan Klavsen beklager fejlen, som kommunen blev opmærksom på i sidste uge.

»Vi er naturligvis meget ærgerlige over fejlen, som blev rettet straks, da vi blev gjort opmærksom på det, og er fuldt bevidst om vores ansvar i forhold til opbevaring og håndtering af personoplysninger,« skriver Stephan Klavsen i en mail.

Version2 blev gjort opmærksom på sagen af indehaveren af domænet fred.dk. Han har modtaget flere autogenererede mails sendt fra et system under Borgerservice i kommunen.

@fred.dk

De pågældende mails skulle være sendt til en adresse under @fredericia.dk og ikke @fred.dk

Artiklen fortsætter efter annoncen

Indehaveren af fred.dk har sendt to eksempler på de autogenererede mails til Version2, hvor han har bortcensureret navnet på de berørte borgere.

I den ene mail fremgår det, at borgeren er ankommet klokken 11 til sit møde, og at emnet for mødet er tilskud til tandbehandling over 10.000 kroner.

I en anden mail fremgår det, at emnet for mødet er 'Pension/Ansøgning om enkeltydelse'.

Et eksempel på en af de fejlmails, indehaveren af domænet fred.dk har modtaget, som skulle have været sendt til en adresse tilhørende Fredericia Kommune.

De pågældende mails er sendt af systemet Workforce Planner, som kommunen anvender.

Stephan Klavsen forklarer, at kommunen årligt behandler 22.000 borgere i kommunens Borgerservicecenter og Ydelsescenter. Og i 14 tilfælde er en mail blevet sendt til den forkerte mailadresse for @fredericia.dk

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Leverandøren af systemet, Edora, har undersøgt, hvad er der gået galt i de 14 tilfælde. Fejlen er - jævnfør mailen fra Stephan Klavsen - opstået, når borgere har henvendt sig til Borgerservicecentret, hvor de skulle have henvendt sig til Ydelsescentret.

»Flytningen af henvendelsen i Workforce Planner fra køen i Ydelsescentret til Borgerservicecentret har genereret de pågældende mails,« står der i mailen fra Stephan Klavsen, som fortsætter:

Version2 Infosecurity: Kommunal it-sikkerhed til debat

It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Som et særligt tiltag kan du deltage i en debat om kommunal it-sikkerhed i vores DebatLounge. Her vil KL, IT-Universitetet, flere kommuner og en rådgiver debattere udfordringer og løsninger i den kommunale it-sikkerhed.

Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Læs mere og tilmelding, klik her.

»Vores leverandør er stadig i gang med undersøgelserne, men den foreløbige konklusion er, at der er tale om menneskelig fejl, hvor der i forbindelse med opsætningen af systemet blev oprettet en forkert mailadresse. Edora er ved at gennemgå logs for at undersøge dette nærmere.«

Siden marts 2017

Den første fejlmail er udsendt 6. marts 2017, og den sidste mail er udgået 30. januar 2019. De 14 mails har indeholdt borgerens navn og det sagsområde, borgeren er blevet betjent indenfor, oplyser Stephan Klavsen.

»Hændelsen er indberettet til Datatilsynet, og vi har i samråd med vores DPO besluttet at underrette de berørte borgere om hændelsen. Samtidig er Edora ved at undersøge, hvordan man ved en øget validering af e-mail-adresser i systemet kan øge sikkerheden, så denne type brud ikke sker igen,« oplyser Stephan Klavsen.

Han oplyser også, at de 14 fejlmails ikke har indeholdt CPR-nummer.

Hvorvidt man foretrækker at få lækket CPR-nummer eller oplysninger om tilskud til tandbehandling på over 10.000 kroner er nok en smagssag.

Emner
13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
Tom Paamand
26. april 2019 kl. 10:25

Artiklens opsang gav flotte resultater. FREDericia har stoppet deres spamming af min FRED.dk-mail med andre borgeres personlige oplysninger - og lignende byer som FREDeriksberg og FREDerikshavn har læst med, og er også holdt op.

  • more_vert
    • insert_linkKopier link
12
Kjeld Flarup Christensen
7. marts 2019 kl. 13:57

Man må jo konstatere, at ingen har savnet den email som blev sendt. Endsige, lavet kontrol når email adressen blev lagt ind i systemet.

  • more_vert
    • insert_linkKopier link
11
Leif Neland
5. marts 2019 kl. 07:19

UTH-systemet er en success, fordi det fjerner "skyld" fra ligningen, og koncentrerer sig om at få uhensigtsmæssigheder frem i lyset.

Det er vigtigt at alle hændelser kommer frem, så det ikke gentager sig, fremfor at de bliver skjult i frygt for repressalier.

  • more_vert
    • insert_linkKopier link
9
Tommy Calstrup
4. marts 2019 kl. 14:45

Forsømmelse dækker kun menneskelige fejl, UTH dækker alt ;)

  • more_vert
    • insert_linkKopier link
8
Knud Larsen
4. marts 2019 kl. 14:31

Hvorfor gøre det så kringlet?

  • more_vert
    • insert_linkKopier link
7
Tommy Calstrup
4. marts 2019 kl. 13:57
  • more_vert
    • insert_linkKopier link
5
Tom Paamand
4. marts 2019 kl. 13:37

Version2 fik dette eksempel, da det nemt kunne dokumenteres. Fredericia har også sendt interne mails fra andre afdelinger til samme domæne, så de nævnte var blot et par jeg faldt over for en uges tid siden.

Det tal som kommunen angiver drejer sig om kun om et enkelt system, men deres ordblinde IT-medarbejder har åbenbart hjulpet andre. Samt i øvrigt yderligere et par lignende kommuner med Fred i navnet. I dagens post lå fx en "Vagtplan for marts" fra et andet sted.

Jeg er bagstopper på en række domæner, hvor jeg pt til fejlretning gemmer fejlskudte mails, der så automatisk slettes efter få dage. Jeg har hverken tid eller lyst til systematisk at lede efter og rette andres fejltagelser - blandt tusinder af spammails. Det er derfor kun hvor jeg tilfældigt snubler over den slags mails, at de bliver opdaget.

Ved sådanne tilfælde vurderer jeg om der er vedvarende fortrolighedsbrud, og har så mailet kommunen om problemet - men det hjælper som hovedregel ikke. Fredericia kontaktede jeg telefonisk, da jeg hurtigt fandt navnet på en relevant medarbejder, der høfligt ringede tilbage og sagde tak. Deres systemleverandør sendte så en testmail til den forkerte adresse, men har ikke kontaktet mig direkte.

  • more_vert
    • insert_linkKopier link
4
Mogens Lysemose
4. marts 2019 kl. 13:08

Med mindre, du er en af dem, det er gået ud over.

I sammenligning med at Seruminstituttet, SSI, sendte alle cprnr + diagnoser for alle 2,3 mio danskere der har været i kontakt med sundhedssystemet på en ukrypteret CD-ROM til den kinesiske ambasade må det siges at være i den lettere ende. Og der var jeg helt sikkert med da jeg er "kunde" i sundhedsvæsnet. Men jeg hørte kun om det på version2...

I sammenligning med oversigtsliste med over 20.000 mistede persondataoplysninger som Gladsaxe mistede for nyligt er det også i den lette ende...https://www.version2.dk/artikel/ansat-gemte-filer-lokalt-paa-pc-nu-rammer-datalaek-20000-borgere-gladsaxe-kommune-1087012

Hvis første kontakt var gennem Version2 i år, så burde vedkommende have et slag i rumpen

Jeg er meget uenig, modtageren bør ikke straffes for at kommunen sender 14 postkort med sundhedsoplysninger til den forkerte modtager.

Uanset om han forarges og involverer myndigherderne for at statuere et eksempel eller høfligt bruger tid på at få relevante person i kommunen til at anerkende problemet.

  • more_vert
    • insert_linkKopier link
3
Tommy Calstrup
4. marts 2019 kl. 12:59

Med mindre, du er en af dem, det er gået ud over.

Ja, de får besked om, at der er sket en utilsigtet hændelse, men hvad kan de bruge det til?

Der burde være en eller anden minimums bod, for den slags, som ikke bliver modregnet, i evt. offentlige ydelser!

Og så er der lige et tillægs spørgsmål: Hvornår gjorde indehaveren af @fred.dk første gang kommunen opmærksom på fejlen?

Hvis første kontakt var gennem Version2 i år, så burde vedkommende have et slag i rumpen for ikke at reagere hensigtsmæssigt på problemet!

  • more_vert
    • insert_linkKopier link
2
Mogens Lysemose
4. marts 2019 kl. 12:23

i 14 tilfælde er en mail blevet sendt til den forkerte mailadresse

Hvis det kun er sket 14 gange på "flere år" er skaden til at overskue..?

  • more_vert
    • insert_linkKopier link
1
Erik Gotfredsen
4. marts 2019 kl. 11:39

"De pågældende mails er sendt af systemet Workforce Planner, som kommunen anvender."

"Fejlen er jævnfør mailen fra Stephan Klavsen opstået, når borgere har henvendt sig til Borgerservicecentret, hvor de skulle have henvendt sig til Ydelsescentret."

Så det er altså enten "Workforce Planner" eller borgere der henvender sig til forkerte steder i kommunen, der er skyld i fejlen, at der bliver sendt en mail til "@fred.dk" og ikke til "@fredericia.dk"

Mage til vrøvl og ansvarsforflygtigelse skal man lede længe efter.

Det er kommunens og kun kommunens skyld.

Venlig (men arrig) hilsen Erik Gotfredsen

  • more_vert
    • insert_linkKopier link