Kommune opfordrede forældre til at indsende børns psykiske diagnoser via usikker mail

26. juni 2019 kl. 05:115
Kommune opfordrede forældre til at indsende børns psykiske diagnoser via usikker mail
Illustration: Screen Dump | Mads Lorenzen.
En opfordring i forbindelse med et projekt under Københavns Kommune har sat følsomme persondata på spil og kan være i strid med GDPR, vurderer jurist. Kommunen kalder nu selv forløbet for »en klar fejl«.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hvad er barnets og begge forældres CPR-numre? Har barnet en psykisk diagnose? Hvilke psykiske vanskeligheder har barnet, og hvad betyder de for barnets dagligdag og skolegang?

Således lyder de spørgsmål, som forældre til børn, der går i mellem 3. og 6. klasse, i en mail fra Københavns Kommune er blevet bedt om at besvare inden 1. august i år.

Det på trods af, at Københavns Kommune har en e-Boks, der med fordel kan bruges til at modtage netop sådanne følsomme personoplysninger. Blandt andet fordi kommunikationen er krypteret, og fordi e-Boks i sig selv kræver, at man verificerer sig i begge ender af kommunikationen med NemID.

Svarene, kommunen har efterspurgt, skulle bruges til at hjælpe kommunen med at identificere københavnske børn, der mistrives eller har psykiske udfordringer, så de kan hjælpes gennem Cool Kids-kurser.

Potentiel GDPR-brøler

Det er en uheldig praksis, der kan bringe kommunen på kant med GDPR og potentielt set åbne op for, at de besvarelser, der er tikket ind til dags dato, kan ende i forkerte hænder.

Artiklen fortsætter efter annoncen

Sådan lyder vurderingen fra Catrine Søndergaard Byrne, der er advokat hos Labora Legal med speciale i blandt andet GDPR.

»Der er efter min vurdering tale om, at kommunen er dataansvarlig for indsamlingen af de personoplysninger, som skal anvendes til 'Cool Kids'-initiativet,« siger Catrine Søndergaard Byrne.

Selvom Københavns Kommune ikke som udgangspunkt er dataansvarlig, når det er borgerne selv, der sender ind, mener Catrine Søndergaard Byrne, at det faktum, at indsamlingen sker til »et af kommunen udpeget formål, kommunen faciliterer metoden og udpeger de oplysninger, som borgeren skal give,« gør kommunen til direkte medansvarlig for, at posten sendes usikkert.

Københavns Kommune: »Klar fejl«

Københavns Kommune har ikke ønsket at stille op til interview om sagen, og derfor ved vi endnu ikke, hvor mange forældre der har fået opfordringen om at indsende oplysninger om blandt andet psykisk sygdom til kommunen via almindelig e-mail.

Fordi kommunen ikke har ønsket at stille op til interview, har det heller ikke været muligt at stille Københavns Kommune opfølgende spørgsmål og få svar på dem inden for Version2’s deadline.

Kommunen oplyser følgende i en mail til Version2:

»Det er en klar fejl, at medarbejdere ikke har været opmærksomme på den rette procedure for sikker kommunikation mellem forældre og forvaltningen. Det er der rettet op på, og der er udsendt en ny mail til forældrene med den korrekte vejledning til, hvordan de kan skrive til forvaltningen,« understreger tværfaglig chef Lisbeth Juul Aggerholm i mailen.

»Proceduren er samtidig blevet indskærpet over for alle medarbejdere i afdelingen for at sikre, at borgerne kommunikerer sikkert med forvaltningen.«

Det fremgår ikke af skrivelsen fra kommunen, hvilken sikker praksis der er skiftet til.

Københavns Kommune understreger dog, at der kun er en enkelt borger, der nåede at besvare mailen, og at »pågældende bliver kontaktet hurtigst muligt«.

Tidligere sag om indsendte CPR-numre

Og der ér tale om en usikker kommunikationsform, når posten sendes med almindelig e-mail. Det slog Datatilsynet fast i en skærpelse, hvor tilsynet gjorde det klart, at e-mail betragtes som usikker kommunikation og derfor bør undgås, når man som databehandler sender persondata rundt.

Catrine Søndergaard Byrne henviser desuden til en afgørelse fra Datatilsynet, hvor Nets får en løftet GDPR-pegefinger, fordi betalingsgiganten bad kunder indsende følsomme oplysninger gennem en ukrypteret forbindelse.

Pointen er, at Nets dengang blev holdt ansvarlig, alene fordi de opfordrede til at sende informationerne usikkert, akkurat som det er tilfældet for Københavns Kommune.

For god ordens skyld bør det bemærkes, at der er tale om en historisk afgørelse, og at det derfor ikke er sikkert, om sagen var faldet ud på samme måde under de nuværende GDPR-regler.

Åbner op for datalæk

Sikker mail

Mailkommunikation kan godt foregå krypteret og demed relativt sikkert, hvis mail-serveren hos både modtager og afsender understøtter TLS.

Blandt andet Gmail og Microsofts web-baserede Outlook understøtter TLS.

Datatilsynet oplyser dog, at »når der anvendes TLS, skal man som dataansvarlig desuden være opmærksom på, at det kun er selve transporten af e-mailen der krypteres«.

»E-mailen vil således som udgangspunkt lagres i en ukrypteret og læselig tilstand på både afsenderes og modtagerens mailservere.«

For at komme den problematik til livs, altså at uvedkommende - trods TLS - får adgang til mail-indhold, er der end-to-end-kryptering.

Om end-to-end-kryptering oplyser Datatilsynet:

»Med en sådan løsning har afsenderen og modtageren hver et nøglepar bestående af en offentlig nøgle og en privat nøgle. Afsenderen anvender modtagerens offentlige nøgle til at kryptere indholdet af e-mailen, før den sendes.«

»Modtageren anvender sin egen private nøgle til at dekryptere e-mailens indhold efter modtagelse. Indholdet af e-mailen er på denne måde krypteret hele vejen fra afsenderens e-mail-klient til modtagerens e-mail-klient.«

Kilde: Datatilsynet mfl.

Der er flere grunde til, at e-mail betragtes som en usikker kommunikationsform. Som udgangspunkt kan det være, at en mail bliver sendt i klartekst over internettet, hvor vilkårlige personer kan få adgang til indholdet.

I princippet kan mailkommunikation godt foregå krypteret, hvis afsenderens og modtageres mail-servere understøtter TLS. Men selv med TLS kan indholdet havne i de forkerte hænder. Problematikken er nærmere forklaret i faktaboksen.

Hvis borgeren, som det er tilfældet her, ikke bruger e-Boks eller andre mere sikre tjenester, er der desuden en risiko for slet og ret at sende oplysningerne til den forkerte person. Enten i kommunen eller i værste fald uden for den.

Version2 beskrev sidste år et særligt slemt tilfælde af netop denne problematik, hvor en tilfældig borger blev bombarderet med følsom post, der skulle være sendt til en kommune.

Derudover kan det simple faktum, at mailen ligger i borgerens ‘sendt’-indbakke, udgøre en sikkerhedstrussel, og det kan i sig selv forværre konsekvensen ved et hack mod borgerens e-mail.

Alle disse udfordringer tager Københavns Kommune ikke stilling til i kommunens oprindelige opfordring til at indsende data. Kommunen har ellers en webside med sine egne anbefalinger, hvor den nævner flere måder, man kan kontakte kommunen sikkert på.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
26. juni 2019 kl. 13:58

At kommunen har e-boks betyder ikke de læser den:

Jeg bad f.eks. om aktindsigt hos Kalundborg Komunne (bad faktisk bare om referatet fra min søns skoles bestyrelsesmøder, der lovpligt skal offentliggøres, men det var de ikke de sidste 9 måneder), og måtte efter flere uger rykke fordi ingen havde svaret.

Og min tandlæge bad for nylig om at få min medicinliste per email. I Danmark har for mange ikke styr på håndtering af data.

4
26. juni 2019 kl. 12:27

Enig. Vi får dagligt utallige spam mails der udgiver sig for at repræsentere COOP, en bank et men ser man linket har det absolut intet med firmaet at gøre. Jeg sletter kategorisk alle sådanne - man kan ikke gøre andet da der er tale om manglende autentification

3
26. juni 2019 kl. 12:23

Jeg er kommet min fornemmelse en smule nærmere. Cool Kids-programmet er oprindeligt målrettet børn med diagnoser - autisme, angst etc.

https://socialstyrelsen.dk/tvaergaende-omrader/born-med-funktionsnedsaettelser/inspirationsmateriale-en-hel-familie/inspirationsmateriale-en-hel-familie-1/tidlige-og-forebyggende-indsatster/cool-kids

https://www.kk.dk/sites/default/files/edoc/Attachments/21172738-28693183-1.pdf​​

I artiklen lyder det til, at spørgeskemaet er sendt ud bredt til alle børn i de pågældende klasser. Hvorfor det?

Det er her, jeg kan frygte, at det er et maskeret forsknings/snageprojekt - eller skjult reklame. For er man virkeligt villige til at betale for garanteret meget dyre behandlingsforløb til børn, som ikke i forvejen har en diagnose? Og de børn, som har diagnoser, burde jo henvises via andre kanaler - og der kender man jo i forvejen deres symptomer og problemer.

Så hvad er det, der foregår?

(det kan selvfølgelig være formuleringen i artiklen, som er lidt misvisende)

2
26. juni 2019 kl. 11:51

... uldent ved historien, som jeg ikke kan lide - lidt svært at sætte fingeren på. Men kommunen har et projekt - et dejligt projekt, som de gerne vil have forældre til at bakke op om for at hjælpe børn med problemer.

Man vil åbenbart lade det være op til forældrene selv at vurdere, om deres børn har behov for hjælp. MEN!!!!! Hvorfor går de ikke enten via en lærer, barnets læge, eller via simpel annoncering på hjemmesiden, dagspressen, lokalaviser? Eller uddeling af brochurer?

Kunne forklaringen være, at det i virkeligheden er tale om reklame for et privat firma? Sådan ser hjemmesiden i linket i hvert fald ud: https://cool-kids.dk/?gclid=EAIaIQobChMI5LLphIeC4wIVDZPtCh3w8QU5EAAYASAAEgK6sPD_BwE

Lokker man intetanende forældre til at sende dybt personlige oplysninger om deres barn til firmaet - vel sagtens uden garanti for, at kommunen faktisk vil betale et forløb for barnet?

Er det led i et forskningsprojekt? I givet fald: Hvem står for det? På hvilke betingelser foregår det? Fremgår det af mailen?

Som sagt - et ædelt formål, og jeg kan ikke helt sætte fingeren på, hvad der skurrer, men et eller andet er der.

1
26. juni 2019 kl. 11:26

Jeg er blevet bedt om at sende personfølsomme oplysninger via mail af Skandia Bank for at ændre kreditgrænsen på mit SAS Mastercard. De kunne på tidspunktet (ca. 2 år siden) ikke tilbyde en "sikker mail" via deres hjemmeside, men jeg håber da GDPR har fået dem til at implementere det :-)