Kommune opfordrede forældre til at indsende børns psykiske diagnoser via usikker mail

Illustration: Screen Dump | Mads Lorenzen
En opfordring i forbindelse med et projekt under Københavns Kommune har sat følsomme persondata på spil og kan være i strid med GDPR, vurderer jurist. Kommunen kalder nu selv forløbet for »en klar fejl«.

Hvad er barnets og begge forældres CPR-numre? Har barnet en psykisk diagnose? Hvilke psykiske vanskeligheder har barnet, og hvad betyder de for barnets dagligdag og skolegang?

Læs også: ‘Naivt’ Datatilsyn kontaktede Randers Kommune om problemer med hovsa-mails allerede i 2013

Således lyder de spørgsmål, som forældre til børn, der går i mellem 3. og 6. klasse, i en mail fra Københavns Kommune er blevet bedt om at besvare inden 1. august i år.

Det på trods af, at Københavns Kommune har en e-Boks, der med fordel kan bruges til at modtage netop sådanne følsomme personoplysninger. Blandt andet fordi kommunikationen er krypteret, og fordi e-Boks i sig selv kræver, at man verificerer sig i begge ender af kommunikationen med NemID.

Svarene, kommunen har efterspurgt, skulle bruges til at hjælpe kommunen med at identificere københavnske børn, der mistrives eller har psykiske udfordringer, så de kan hjælpes gennem Cool Kids-kurser.

Potentiel GDPR-brøler

Det er en uheldig praksis, der kan bringe kommunen på kant med GDPR og potentielt set åbne op for, at de besvarelser, der er tikket ind til dags dato, kan ende i forkerte hænder.

Sådan lyder vurderingen fra Catrine Søndergaard Byrne, der er advokat hos Labora Legal med speciale i blandt andet GDPR.

»Der er efter min vurdering tale om, at kommunen er dataansvarlig for indsamlingen af de personoplysninger, som skal anvendes til 'Cool Kids'-initiativet,« siger Catrine Søndergaard Byrne.

Læs også: Partier bruger Facebook-data ulovligt i valgkampagne

Selvom Københavns Kommune ikke som udgangspunkt er dataansvarlig, når det er borgerne selv, der sender ind, mener Catrine Søndergaard Byrne, at det faktum, at indsamlingen sker til »et af kommunen udpeget formål, kommunen faciliterer metoden og udpeger de oplysninger, som borgeren skal give,« gør kommunen til direkte medansvarlig for, at posten sendes usikkert.

Københavns Kommune: »Klar fejl«

Københavns Kommune har ikke ønsket at stille op til interview om sagen, og derfor ved vi endnu ikke, hvor mange forældre der har fået opfordringen om at indsende oplysninger om blandt andet psykisk sygdom til kommunen via almindelig e-mail.

Fordi kommunen ikke har ønsket at stille op til interview, har det heller ikke været muligt at stille Københavns Kommune opfølgende spørgsmål og få svar på dem inden for Version2’s deadline.

Kommunen oplyser følgende i en mail til Version2:

»Det er en klar fejl, at medarbejdere ikke har været opmærksomme på den rette procedure for sikker kommunikation mellem forældre og forvaltningen. Det er der rettet op på, og der er udsendt en ny mail til forældrene med den korrekte vejledning til, hvordan de kan skrive til forvaltningen,« understreger tværfaglig chef Lisbeth Juul Aggerholm i mailen.

Læs også: Data er det nye guld, men virksomhederne har ringe tiltro til deres egen databeskyttelse

»Proceduren er samtidig blevet indskærpet over for alle medarbejdere i afdelingen for at sikre, at borgerne kommunikerer sikkert med forvaltningen.«

Det fremgår ikke af skrivelsen fra kommunen, hvilken sikker praksis der er skiftet til.

Københavns Kommune understreger dog, at der kun er en enkelt borger, der nåede at besvare mailen, og at »pågældende bliver kontaktet hurtigst muligt«.

Tidligere sag om indsendte CPR-numre

Og der ér tale om en usikker kommunikationsform, når posten sendes med almindelig e-mail. Det slog Datatilsynet fast i en skærpelse, hvor tilsynet gjorde det klart, at e-mail betragtes som usikker kommunikation og derfor bør undgås, når man som databehandler sender persondata rundt.

Læs også: Coop: »Alle vores it-problemer skyldes KMD«

Catrine Søndergaard Byrne henviser desuden til en afgørelse fra Datatilsynet, hvor Nets får en løftet GDPR-pegefinger, fordi betalingsgiganten bad kunder indsende følsomme oplysninger gennem en ukrypteret forbindelse.

Pointen er, at Nets dengang blev holdt ansvarlig, alene fordi de opfordrede til at sende informationerne usikkert, akkurat som det er tilfældet for Københavns Kommune.

For god ordens skyld bør det bemærkes, at der er tale om en historisk afgørelse, og at det derfor ikke er sikkert, om sagen var faldet ud på samme måde under de nuværende GDPR-regler.

Åbner op for datalæk

Der er flere grunde til, at e-mail betragtes som en usikker kommunikationsform. Som udgangspunkt kan det være, at en mail bliver sendt i klartekst over internettet, hvor vilkårlige personer kan få adgang til indholdet.

Læs også: Medie: Webtrafik til Google blev for en stund sendt til Rusland og Kina

I princippet kan mailkommunikation godt foregå krypteret, hvis afsenderens og modtageres mail-servere understøtter TLS. Men selv med TLS kan indholdet havne i de forkerte hænder. Problematikken er nærmere forklaret i faktaboksen.

Hvis borgeren, som det er tilfældet her, ikke bruger e-Boks eller andre mere sikre tjenester, er der desuden en risiko for slet og ret at sende oplysningerne til den forkerte person. Enten i kommunen eller i værste fald uden for den.

Version2 beskrev sidste år et særligt slemt tilfælde af netop denne problematik, hvor en tilfældig borger blev bombarderet med følsom post, der skulle være sendt til en kommune.

Læs også: Indehaver af @anders.dk bombarderet med yderst følsomme hovsa-mails

Derudover kan det simple faktum, at mailen ligger i borgerens ‘sendt’-indbakke, udgøre en sikkerhedstrussel, og det kan i sig selv forværre konsekvensen ved et hack mod borgerens e-mail.

Alle disse udfordringer tager Københavns Kommune ikke stilling til i kommunens oprindelige opfordring til at indsende data. Kommunen har ellers en webside med sine egne anbefalinger, hvor den nævner flere måder, man kan kontakte kommunen sikkert på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Gronemann

Jeg er blevet bedt om at sende personfølsomme oplysninger via mail af Skandia Bank for at ændre kreditgrænsen på mit SAS Mastercard. De kunne på tidspunktet (ca. 2 år siden) ikke tilbyde en "sikker mail" via deres hjemmeside, men jeg håber da GDPR har fået dem til at implementere det :-)

  • 1
  • 0
Anne-Marie Krogsbøll

... uldent ved historien, som jeg ikke kan lide - lidt svært at sætte fingeren på. Men kommunen har et projekt - et dejligt projekt, som de gerne vil have forældre til at bakke op om for at hjælpe børn med problemer.

Man vil åbenbart lade det være op til forældrene selv at vurdere, om deres børn har behov for hjælp. MEN!!!!! Hvorfor går de ikke enten via en lærer, barnets læge, eller via simpel annoncering på hjemmesiden, dagspressen, lokalaviser? Eller uddeling af brochurer?

Kunne forklaringen være, at det i virkeligheden er tale om reklame for et privat firma? Sådan ser hjemmesiden i linket i hvert fald ud: https://cool-kids.dk/?gclid=EAIaIQobChMI5LLphIeC4wIVDZPtCh3w8QU5EAAYASAA...

Lokker man intetanende forældre til at sende dybt personlige oplysninger om deres barn til firmaet - vel sagtens uden garanti for, at kommunen faktisk vil betale et forløb for barnet?

Er det led i et forskningsprojekt? I givet fald: Hvem står for det? På hvilke betingelser foregår det? Fremgår det af mailen?

Som sagt - et ædelt formål, og jeg kan ikke helt sætte fingeren på, hvad der skurrer, men et eller andet er der.

  • 7
  • 2
Anne-Marie Krogsbøll

Jeg er kommet min fornemmelse en smule nærmere. Cool Kids-programmet er oprindeligt målrettet børn med diagnoser - autisme, angst etc.

https://socialstyrelsen.dk/tvaergaende-omrader/born-med-funktionsnedsaet...

https://www.kk.dk/sites/default/files/edoc/Attachments/21172738-28693183...​​

I artiklen lyder det til, at spørgeskemaet er sendt ud bredt til alle børn i de pågældende klasser. Hvorfor det?

Det er her, jeg kan frygte, at det er et maskeret forsknings/snageprojekt - eller skjult reklame. For er man virkeligt villige til at betale for garanteret meget dyre behandlingsforløb til børn, som ikke i forvejen har en diagnose? Og de børn, som har diagnoser, burde jo henvises via andre kanaler - og der kender man jo i forvejen deres symptomer og problemer.

Så hvad er det, der foregår?

(det kan selvfølgelig være formuleringen i artiklen, som er lidt misvisende)

  • 6
  • 2
Knud Larsen

Enig. Vi får dagligt utallige spam mails der udgiver sig for at repræsentere COOP, en bank et men ser man linket har det absolut intet med firmaet at gøre. Jeg sletter kategorisk alle sådanne - man kan ikke gøre andet da der er tale om manglende autentification

  • 2
  • 1
Mogens Lysemose

At kommunen har e-boks betyder ikke de læser den:

Jeg bad f.eks. om aktindsigt hos Kalundborg Komunne (bad faktisk bare om referatet fra min søns skoles bestyrelsesmøder, der lovpligt skal offentliggøres, men det var de ikke de sidste 9 måneder), og måtte efter flere uger rykke fordi ingen havde svaret.

Og min tandlæge bad for nylig om at få min medicinliste per email.
I Danmark har for mange ikke styr på håndtering af data.

  • 5
  • 0
Log ind eller Opret konto for at kommentere