Kommuners ukrypterede mail-svipsere er ‘dybt ulovlige og tegn på umodenhed’

En af de omkring 70 fejlsendte mails, der indeholder 3 CPR-numre, underskrifter og en række andre informationer Illustration: Version2
De drypvise læk er eksempler på et lille juridisk problem, der bliver stort, fordi man ikke gør noget ved det, lyder det fra jurist.

Når kommuner sender ukrypteret post, der ender i tilfældige indbakker rundt omkring i landet, er det ulovligt og i strid med både Databeskyttelsesloven og GDPR, men faktisk også med sikkerhedsbekendtgørelsen, der går helt tilbage til år 2000.

Version2 har tidligere beskrevet, hvordan dybt følsomme mails, der skulle være sendt internt i Randers Kommune, ender hos en Anders Lorensen, fordi han ejer domænet anders.dk. Med en enkelt stavefejl i mailadressen ender posten således hos Anders.dk og ikke Randers.dk.

»Det er en gammel kendt regel for myndighederne, at CPR-numre ikke må sendes ukrypteret. Det her har været ulovligt i tyve år. Derudover viser den her sag et lavt modenhedsniveau, siger Jon Lauritzen, der er advokat hos Delacour med speciale i it- og persondataret.

It-chef i Randers Kommune, Bent Højlund, siger, der er tale om menneskelige fejl. Men det fritager dem ikke for ansvaret, fortæller Jon Lauritzen.

»Hvis de her mails var sendt i et internt system, afskåret fra internettet, ja så var det fint nok, at de ikke var krypterede,« fortæller advokaten.

Men det var ikke tilfældet. De lækkede mails blev sendt over internettet, og det var de også blevet, hvis de var kommet frem til den medarbejder i Randers Kommune, der egentlig skulle have modtaget dem i første omgang.

Flere skærpende omstændigheder

Derudover er det juridisk skærpende, at Randers Kommune ikke reagerer på de advarsler, kommunen har fået ind. Herunder en advarsel til kommunens Direktør for Social og Arbejdsmarked Steinar Kristensen, der stadig ikke ønsker at forklare over for Version2, hvorfor han ikke handlede på advarslen om de mange vildfarne mails fra Anders Lorensen tilbage i 2014.

Eller som et minimum informerede it-chefen, så denne kunne gøre noget ved problemet.

»Hvis jeg var datatilsynet, ville jeg klart skærpe vurderingen. Hvis det er rigtigt, at direktøren har været opmærksom på det i lang tid, så er det virkelig kritisabelt,« siger Jon Lauritzen.

Der gik i øvrigt længe, inden datatilsynet blev informeret. Det skete først, efter at Version2 havde været i kontakt med Bent Højlund for tredje gang, hvor han fortalte Version2, at man endnu ikke havde indmeldt datalækket til Datatilsynet.

Datatilsynet, som i øvrigt ikke har nogen kommentarer til sagen, fortæller dog efterfølgende, at en anmeldelse er tikket ind.

»Randers Kommune er en stor virksomhed. De har ressourcerne til at gøre noget ved det her, de har egen it-afdeling og burde på flere måder have mulighed for at undgå læk som dette. Modsat eksempelvis en lille tomandsvirksomhed,« siger Jon Lauritzen, der også mener, dét er juridisk skærpende.

Han fortæller desuden, at en potentiel bøde bliver større, jo længere et læk er blevet ved, og hvis der er tale om gentagelser. Dog bør det i denne forbindelse nævnes, at langt de fleste hovsa-mails til Anders Lorensen er modtaget, før GDPR trådte i kraft den 25 juni.

Ingen forholdsregler truffet

Bent Højlund, som er it-chef i Randers Kommune, fortæller desuden til Version2, at man ikke hos Randers Kommune får nogen som helst advarsel, når man sender mails, der fortæller medarbejderen, at e-posten er på ved ud af huset. Derudover har man først nu blacklistet anders.dk, så medarbejderne ikke kan sende post til den forkerte indbakke.

Men alle de andre domæner der minder om @randers.dk er stadig whitelistede. Derfor kan der potentielt godt være mere post på vej ud af Randers Kommune i skrivende stund. @rander.dk er eksempelvis ejet af nogen, der ikke er Randers Kommune, og med den mængde fejlpost Anders Lorensen har modtaget er det svært at udelukke, at flere hovsa-mails skulle være endt hos andre borgere eller organisationer.

Bent Højlund fortæller dog, at han i skrivende stund overvejer at blackliste flere domæner, men at han er tilbageholdende, fordi det risikerer at gå ud over kommunens udadgående kommunikation.

»Vi har også fået mange tilbud fra virksomheder der godt vil hjælpe os efter Version2’s artikler, og mange af kommentarerne under artiklerne indeholder gode tips, som vi lige nu overvejer,« siger Bent Højlund.

Lav modenhed

»Når man ikke tænker it-sikkerhed, så får man ikke it-sikkerhed. Det her et et godt eksempel på et lille problem, som bliver stort, fordi Randers Kommune ikke gør noget ved det,« siger Jon Lauritzen

Det viser et lavt modenhedsniveau, mener juristen og bakkes op af Claus Vesthammer, der er sikkerhedskonsulent hos Improsec. Han giver juristen ret i, at Randers Kommune på det her punkt har en utrolig lav it-modenhed og kalder kalder Randers Kommunes nuværende løsning med at blackliste anders.dk en ‘lappeløsning’.

Han mener, at hovedårsagen til den uheldige udadgående poststrøm er, at Randers Kommune har givet deres medarbejdere et for stort ansvar for håndteringen af data, som er meget nemt teknisk at fritage dem for.

»Når direktøren vælger at negligere det her og udadtil sige, at man gør noget men tilsyneladende intet gør - så er det stærkt kritisabelt. Det er rigtig, rigtig nemt at ændre det her, så der er ingen grund til at gå og vente, til det sker næste gang,« siger Claus Vesthammer.

Hos Randers Kommune selv mener man, at modenheden er i top.

»Vi har et højt modenhedsniveau. Vi deltager i adskillige undersøgelser, er en del af KL’s benchmark og har revisionsfirmaet BDO til at gennemgå vores processer, besøge vores it-afdeling og se, om vi har adskilt tingene, har styr på koder og så videre,« siger Bent Højlund.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (59)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"»Hvis de her mails var sendt i et internt system, afskåret fra internettet, ja så var det fint nok, at de ikke var krypterede,« "

Tager juristen ikke fejl her? Måske er problemet mindre - men det er jo ikke alle medarbejdere, der skal vide alt om alle borgere - så også fejlleveringer af meget private oplysninger i et internt system er vel et problem? Eller er vi nået derhen, at alle medarbejde i kommunen har ret til at vide alt om alle borgere?

  • 14
  • 0
Magnus Jørgensen

Tager juristen ikke fejl her?

Jeg ville formode at en medarbejder ville have en ikke-offentliggørelsesaftale i ansættelses kontrakten. Hvis en medarbejder modtager en mail ved en fejl er der vel ikke rigtigt tale om at vedkommende så har en ret til at få disse data.
Men praktisk set kan en teknisk dygtig person vel installere en pakket sniffer på netværket og læse al mail kommunikation.

  • 4
  • 0
Magnus Jørgensen

Var man nu en medarbejder som var spion for Kina, der var interesseret i Danfoss teknologi, kunne man nok udnytte kommunens beklagelige sikkerhed til at skaffe sig adgang til personlige oplysninger på personale fra Danfos. Disse informationer kunne dermed bruges til at afpresse denne Danfoss medarbejder.

Der er måske lidt langt at køre fra Randers til Danfoss. :)

  • 8
  • 2
Anne-Marie Krogsbøll

Jeg ville formode at en medarbejder ville have en ikke-offentliggørelsesaftale i ansættelses kontrakten


Tak for svar.
I mine øjne kan en fortrolighedsaftale ikke erstatte ordentlig sikkerhed - der kan jo være tale om oplysninger om naboer, venner, familie, politiske modstandere etc. Ikke rart, hvis de ved et uheld havner i forkerte hænder, selv om vedkommende har tavshedspligt. Ofte opererer man jo sådanne steder også med hele mail-grupper. Ikke rart, hvis en sådan får tilsendt fortroligt materiale, de ikke har ret til at få.

Jeg ved ikke, hvad løsningen er. At man kræver en form for "kvittering" fra modtageren på, at det er rette vedkommende, inden man sender noget meget personfølsomt?

  • 4
  • 1
Henrik Størner

Der er vel egentlig to helt forskellige problemer her.

1) Mailen sendes ukrypteret over et offentligt netværk (Internet). Det er hvad overskriften peger på, og det har været forbudt i mange år. I praksis kan man så diskutere hvor stort et problem det egentlig er, eftersom stort set alle mailservere på nettet i dag understøtter kryptering (90% iflg. Google, 95% iflg Facebook).

2) Mailen sendes til en forkert modtager-adresse. Her hjælper kun at kryptere indholdet, men det har mig bekendt aldrig været et krav fra Datatilsynet.

Men kunne den kommunale mail-admin dog ikke tilføje disse adresser hos @randers.dk til de stakkels medarbejderes adressebog, så de ikke selv skal taste den fulde mailadresse ind? Det burde vel fange de fleste fumlefingre-mails.

  • 4
  • 1
Lars Meldgård

Hvorfor ikke bare lade være med at sende disse ting i mails?

Banker, skat, forsikring og ande har da for længst procedurer for, at man aldrig sender noget personhenførbart i mail. Altid e henvisning til at du har en besked, og du kan logge på for at læse den.

Noget med personnumre har aldrig hørt hjemme via en mail..jo hvis man end-2-end krypterer, men det er der jo ikke nogen der bruger. Så skal man udveksle certifikater inden man kan sende en mail - det går ikke.

I mine øjne hjælper kryptering på linjen ikke en skid. Hvem er det man vil sikre sig imod? Hvem er det der lytter på linjen? I praksis er det kun ansatte på internet-knudepunkterne som har teknisk mulighed for at lytte. Dem der ejer en mail server kan altid læse alle mails, selvom linjen er lrypteret.

Så skulle man ikke tage og ændre noget et sted hvor det er realistisk? F.eks. helt lade være med at sende indholdet?

  • 16
  • 0
Christian W. Moesgaard

Der flyver rundt med ukrypterede CPU numre over det hele. Forrige uge blev jeg bedt om at sende mit CPR nummer, et billede af mit pas eller kørekort (har ikke kørekort) samt et billede af mit sygesikringsbevis over ukrypteret e-mail til min ejendomsadministrator.

Da jeg forespurgte en public key for at kunne kryptere forsendelsen, blev jeg i stedet bedt at indsende informationen med POST, sandsynligvis fordi administrator ikke kan finde ud af at sende krypterede e-mails.

Jeg bad herefter om en GDPR-redegørelse for, hvordan data opbevares. Den får jeg nok aldrig - tror ikke de har én.

Jeg tror ikke min oplevelse er usædvanlig på nogen måde, og det skræmmer mig i alvorlig grad.

Der SKAL strammes op på datasikkerhed, både i det offentlige og i det private. Og jeg taler ikke om lovene - de er fine - jeg taler om at advokaterne, politiet, og domstolen får fingrene ud af r-hullet og lægger sager an for det her sjuskeri.

  • 14
  • 0
Anders Johansen

Noget med personnumre har aldrig hørt hjemme via en mail..jo hvis man end-2-end krypterer, men det er der jo ikke nogen der bruger. Så skal man udveksle certifikater inden man kan sende en mail - det går ikke.

Kommunen kunne også vælge kun at tillade mails med personfølsomme data til interne og eventuelt godkendte eksterne modtagere.

Så elimineres i hvert fald mail-kommunikation som årsag til den slags svipsere...

  • 0
  • 0
Maciej Szeliga

1) Mailen sendes ukrypteret over et offentligt netværk (Internet). Det er hvad overskriften peger på, og det har været forbudt i mange år. I praksis kan man så diskutere hvor stort et problem det egentlig er, eftersom stort set alle mailservere på nettet i dag understøtter kryptering (90% iflg. Google, 95% iflg Facebook).

Den må skam ikke sendes ukrypteret på kommunens eget netværk, ikke alle ansatte i kommunen må se borgernes CPR-nre.

2) Mailen sendes til en forkert modtager-adresse. Her hjælper kun at kryptere indholdet, men det har mig bekendt aldrig været et krav fra Datatilsynet.

Det var ellers en af årsagerne til vi fik den der pseudo-mail løsning bundet op på nemid.

Men kunne den kommunale mail-admin dog ikke tilføje disse adresser hos @randers.dk til de stakkels medarbejderes adressebog, så de ikke selv skal taste den fulde mailadresse ind? Det burde vel fange de fleste fumlefingre-mails.

Det er normalt det som en mailserver selv sørger for - helt automatisk - det her er næppe et opsætningsspørgsmål, det er et fummelfinger spørgsmål: man tror man har tastet rigtigt og mailserveren går ud fra at hvis du har skrevet @ så vil du sende eksternt og det kan den ikke checke.
Det der burde være gjort er at sætte gatewayen eller mailserveren til at checke om der er personnr. i mailen inden den sendes ud af huset.

  • 3
  • 1
Niels Danielsen

Banker, skat, forsikring og ande har da for længst procedurer for, at man aldrig sender noget personhenførbart i mail. Altid e henvisning til at du har en besked, og du kan logge på for at læse den.


De fleste beskeder fra banker og lign. er envejskommunikation, en computer har besluttet at man skal have noget 'standard information'.
Kommunikationen med Kommunen er typisk initieret fra borgeren, hvorved der starter noget sagsbehandling der havner ved en medarbejder der måske har brug for yderligere information.
En fældes mailboks er fint til at etablere kommunikationen, men herefter er der brug for at kunne kommunikere direkte.
Der er 9000 ansatte i Randers kommune (Wiki), og et gæt kunne være at 10% af dem har brug for at kunne kommunikere direkte med borgerne.
Jeg kan se at Randers kommune har 24 ''Modtagere" der kan vælges i e-Boks, den sidste i listen er forøvrigt en 'Data Beskyttelses Rådgiver'.
Set fra min ende virker e-Boks er ikke så stærk mht. at fastholde kommunikationen i en tråd/journal nummer, derfor det må kræve en del resurser for kommunen at sortere de 24 mailbokse.

  • 2
  • 0
Martin Pedersen

Banker, skat, forsikring og ande har da for længst procedurer for, at man aldrig sender noget personhenførbart i mail. Altid e henvisning til at du har en besked, og du kan logge på for at læse den.


Det er overhovedet ikke rigtigt, det sejler mindst lige så meget hos banker som i det offentlige.
Det er ikke mere end et år eller to siden at min egen bank bad mig om at sende ID via mail, og efter at have vist interesse i at skifte bank til Nordea, så bad Nordea mig om at sende personlige dokumenter via mail. Det bankskifte blev selvsagt ikke til noget.

  • 4
  • 0
Michael Rasmussen

Hvorfor er Randers Kommune ikke politianmeldt? Er det acceptabelt, at en stor kommunal virksomhed opererer på ulovlig grund gennem så lang tid, ignorerer advarsler (er vidende om de begåede ulovligheder) - uden at blive stoppet/sanktioneret. Det virker som en alvorlig krænkelse af retsbevidstheden.

  • 8
  • 1
Peter Naumann

Ja, det er helt korrekt: den eneste fejl der er begået her, er en fejlindtastning i adressen.
Det første man skal skelne imellem, er krypteret transmission og krypteret indhold.
Krypteret transmission er normalt sikret ved hjælp af TLS, tjek evt. her om domænet er TLS sikret
https://luxsci.com/smtp-tls-checker
Hvis det er det, og dit eget er det, er transmissionen krypteret. På samme måde som https://. Og så er transmissionen sikret, og lever op til datatilsynets krav om transmissions sikring. https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaer...

Hvis domænet ikke understøtter TLS (meget sjældent) så send mail indholdskrypteret, et større arbejde, men så er forsendelsen sikret.

2 andre ting fra tråden.
1. Personnumre er ikke personfølsomme data.
2. Mails der sendes internt kommer aldrig ud på lan, men "flyttes" internt på mailserver, og kan dermed ikke sniffes. Men transmissionen må anses som sikker.

En fremtidig tilgang kunne være at blackliste alle domæner som ikke er TLS sikrede, både for indgående og udgående mail.

Jeg synes at Mads Lorenzen (Version 2)bør lægge en berigtigelse ved artiklen, da den er noget juks og blander æbler og bananer.

  • 0
  • 10
Kenneth Frandsen

eg kan se at Randers kommune har 24 ''Modtagere" der kan vælges i e-Boks, den sidste i listen er forøvrigt en 'Data Beskyttelses Rådgiver'.


En af de ting der plejer at få mine alarmklokker til at ringe ifm. fishing-mails er, at de som regel er skrevet på meget dårligt dansk. Men hvis en så stor kommune som Randers ikke er i stand til at stave til "Databeskyttelsesrådgiver" (for jo, det ér ét ord!), så står det altså skidt til ...

  • 6
  • 1
Chresten Christensen

I denne sammenhæng skal; fejl sikker navn forstås som et navn, der ikke er nem, at indtaste forkert .
Det kan gøres ved hjælp af, at forlænge navnet, til for eksempel ; @kommune.randers.dk.
Alle laver fejl, og når der er mange forskellige bruge, og der er tilstrækkelig, mange af dem. Så sker der, de type af fejl, der er set her.
randers.dk ejer selvfølgelig, kommune.rander.dk, samt alle sub-domæner. Det vil også være lidt svært, for, foreksempel andres.dk at bruge, kommune.andres.dk, det vil evert tilfælde være intetsigende.

  • 2
  • 3
Rolf Andersen

For en god halv snes år siden købte jeg et hus i XX-kommune. Jeg forstod på ejendomsmægleren, at sælgeren var en ung enlig mor, der var blevet skilt fra sin mand, og der var økonomiske problemer. Jeg undlod derfor at begynde at 'prutte' om prisen, og betalte udbudsprisen. Jeg mødte aldrig sælgeren, hun var flyttet forlængst.

So far so good. Jeg havde taget min mobiltelefon (inkl. nr.) med fra min tidligere bolig i den anden ende af landte, og jeg havde ikke fastnet-telefon.

But lo-and-behold: Efter jeg havde boet i huset en 3-4 måneder, lå der en besked på min (!) mobilsvarer. Det var fra kommunen, og det var en temmelig ubehagelig rykker, stilet til den unge kvinde, og beskeden indeholdt en hel del relativt private oplysninger.

Jeg slettede selvfølgelig beskeden, ringede til kommunen og skældte dem ud ... men alligevel: Jeg var chokeret over, at en kommunal medarbejder var så 'løsagtig' med dybt private oplysninger.

  • 10
  • 2
Jan Heisterberg
  • hvorfor ordvalget i artiklen, herunder hos de citerede, er så pænt og høfligt ......

Der er åbenlyst tale om inkompetance på flere niveauer og på flere punkter.
Det ville være rart med nogle hurtige tiltaler og deraf følgende mærkbare sanktioner.
Og i mangel heraf "gabestok" her i Version2 til spot og spe for de implicerede - helt til grænsen for injurier ......

P.S.: Hvis jeg var politiker, og sad i eet af de udvalg som har ansvaret for noget sådant, så ville jeg da reagere - hvad har de mon gkort i Randers - ikke mindst nu hvor sagen er offentlig ?

  • 2
  • 1
Christian W. Moesgaard

"1. Personnumre er ikke personfølsomme data."

Lige så snart du skriver et personnummer og skriver "Venlig Hilsen <dit fulde navn>" er det personfølsomme data - og lad os nu bare være ærlige og sige, at mange af os gør netop det.

Og i øvrigt, de beder ofte om pas eller sygesikringsbevis, og det er 100% sikkert personfølsomt.

  • 4
  • 1
Mads Jensen

Jeg synes at Mads Lorenzen (Version 2)bør lægge en berigtigelse ved artiklen, da den er noget juks og blander æbler og bananer.

Inden du beder andre om berigtigelser er det en god ide at læse dokumentationen og ikke kun pressemeddelse. Der er et fint link i bunden af pressemedelsen. I bunden af den side er der endnu et link til en vejledning fra Datatilsynet, Justitsministereiet og Digitaliseringsstyrelsen. Her vil du kunne læse.

TLS mellem mailservere er ikke nok for at leve op til Datatilsynet krav hverken for offentlige eller private virkersomheder - kun end-to-end er nok.

Der er også tale om personoplysninger, herunder cpr nummer og ikke som du skriver personfølsomme oplysninger.

Det lyder ikke som om du har lavet pentest ret mange steder. Det er noget vrøvl at interne mails altid kun flyttes internt på mailserveren og aldrig kan sniffes i klartekst på lan. Det kommer an på set-up. Aner ikke hvordan det er i Randers Kommune. Var der ikke noget med en printer/scanner/kopimaskine. Nogle af disse bruger maskinens egen mailserver, nogle bruger virksomhedens centrale mailserver og nogle bruger endda eksterne SMTP relays.

Mange scannere understøtter ikke TSL/SSL

  • 13
  • 1
Anders Lorensen

Tilbage i 2013 anmeldte jeg Randers kommune til datatilsynet, og jeg ved at de havde fat i Randers kommune dengang. (jeg blev nemlig dengang ringet op af både datatilsynet og Randers kommune omkring det)

Hvad lavede datatilsynet dengang og hvad lavede Randers dengang, siden ingen af dem kan huske det længere?

Dengang var det ang. https://imgur.com/a/7uPOZAA
Der var 92 der syntes jeg skulle have et flot CV med alt hvad man skal bruge til identitetstyveri dengang.

Det eneste jeg selv kan huske var at datatilsynet bad mig slette alle mails med det samme - hvilket bevirkede at Randers aldrig fik ansøgningerne, og afsenderne aldrig fik besked om lækket eller noget job...

  • 9
  • 0
Kim Henriksen

Det er efterhånden påtide at en mening medarbejder har nok styr på IT, til at de selv kan vurdere om en given arbejdsopgave / producere bliver udført sikkerhedsmæssigt forsvarligt.

Dvs. i dette tilfælde skal medarbejdere kunne vurdere om noget bør krypteres før det afsendes og stille spørgsmål om det sker i praksis.

Man forventer jo det samme af folk når de tager kørerkort, at de selv kan vurdere, om bilen er forsvarlig at køre i.

  • 6
  • 0
Peter Naumann

Berigtigelsen går på sammenblandingen af den forkerte mail adresse og og krypterings spørgsmålet.

Kunne du give et link til hvor der står at TLS ikke er sikkerhed nok ved mail transmissionen?

Alting kommer i sidste ende op på setup, og det er som udgangspunkt noget sludder at tage alle eventualiteter med. Vi må som udgangspunkt diskutere at det er et forsvarligt setup.

Er du en troll?

  • 0
  • 8
Niels Danielsen

Ikke engang en simpel ting som en fejlfri SPF record kan de klare i Randers.


Nej det ser ikke kønt ud:
https://mxtoolbox.com/domain/randers.dk/
- Der er mange mange servere (13?) der kan sende mails på vegne af Randes kommune, og der er 3 niveauer af includes.
- rDNS stemmer ikke for de to indgående servere.
- De bruger TLS, og certifikaterne er valide, men stemmer ikke overens med mx (til andre domæner).
- Der er ikke nogen DMARC entry i DNS, så man kan ikke vide om der skal være DKIM i mail header.

Det gør det meget besværligt at konfigurere sin mailserver, jeg vil foretrække hvis jeg kunne opsætte følgende regler:
- IP skal matche rDNS, og HELO
- TLS 1.2 med public certifikat.
- SPF og DMARC

Men hvad hjælper dette når Kommuner har et mailserver setup der ligner dem der sender mails om at man kan få et kønsorgan på størrelses med en hests. :-)
(Spamassassin med DNSBL, og Bayes kan dog fjerne det værste )

  • 10
  • 1
Anne-Marie Krogsbøll

For at uddybe mht. uskyldigheden, hvis bare fejlleveringen sker indenfor et offentligt system:
https://www.tvmidtvest.dk/artikel/skarp-kritik-af-region-midtjylland

Kun de personalegrupper - ja, faktisk kun de personer - der direkte har noget at gøre i den konkrete sag, har ret til at se oplysningerne.

Fra min tid i psykiatrien, som ligger nogle år tilbage: Vi blev pludseligt bedt om at sende vore terapinotater til sekretærerne pr. mail - det var angiveligt tidsbesparende, i stedet for at diktere på bånd. Jeg strittede imod så godt, jeg kunne, da jeg følte, at det var for usikkert. Men der var ingen vej uden om - argumentet var netop, at det jo var et internt system, så var det sikkert nok (hvis altså jeg ikke kom til at taste en "ydre" adresse ind). Jeg valgte så - til systemets tydelige irritation - at sende notatet, men uden cpr, navn etc. . Det kunne sekretærerne godt finde ud af, da de kendte mine patienter, og havde oversigt over mine aftaler.

Men forestil jer, at et psykolognotat med navn og cpr ved en fejl endte hos en helt anden end den relevante sekretær - f.eks. en portør, en kantinemedarbejder, en presseansvarlig, en it-supporter..... Eller ligefrem røg ud af systemet ved en fejl.... for det var der, mig bekendt ikke nogen sikkerhed imod - sikkerheden gik kun på, at ingen udefra kunne komme ind i systemet og aflure den.

Notater fra psykologsamtaler er alt andet end uskyldige, de er yderst private .... de bør ikke under nogen omstændigheder kunne havne hos en forkert modtager - selv indenfor et offentligt system, hvor man har tavshedspligt Ville du selv have det helt fint med, at du talte med din psykolog, hvorefter rengøringsdamen - som jo også har tavshedspligt - fik notatet ved en fejl?

Jeg har ikke føling med, hvordan det foregår nu om dage.....men jeg frygter det værste.

  • 9
  • 1
Egon Olsen

Message completed successfully - SMTP står halvt åben. Alle kan udfra sende intern mail mellem alle mail-adresser på randers.dk

Dette var ikke en opfordring til at gøre noget ulovligt, som CEO fraud, eller sende en fyrreseddel fra borgmesterens mail til den IT-ansvarlige, blot en konstatering.

BDO har gennemgået vores sikkerhed. Vi er benchmarked af KL. Vi har et højt modenhedsniveau. Jeg vil sige overmoden, grænsene til halvrådden. Havde det her være USA var den ansvarlige fyrret på stedet. Det her er Danmark, så han får en bonus.

  • 7
  • 2
Lars Christensen

Enhver kan begå fejl, men at IT chefen for en organisation, som beviseligt har gjort groft i nælderne, postulere mod al normal fornuft, er i mine øjne ignorant og dermed en smule underkvalificeret.

"»Vi har et højt modenhedsniveau. Vi deltager i adskillige undersøgelser, er en del af KL’s benchmark og har revisionsfirmaet BDO til at gennemgå vores processer, besøge vores it-afdeling og se, om vi har adskilt tingene, har styr på koder og så videre,« siger Bent Højlund."

Kom nu ind i kampen Randers kommune eller ansat nogle folk der kan vise jer den rigtige vej.

NB. Jeg går selvfølgelig udfra at KL, BDO og andre kommuner og rådgivere ikke fjoller rundt på samme måde som Randers kommune.

  • 9
  • 1
Heino Svendsen

I Stat, kommuner og alt andet i det offentlige Danmark....

Virker som om, at (data)sikkerhed er en joke. Der er jo ingen konsekvenser for offentligt ansatte, når de laver ged i den. En evt. bøde ville blive sendt til selve kommunen og dermed gå ud over borgerne. Hvad om man i stedet gik efter den enkelte medarbejder? Bøden skulle betales af egen lomme. Og ved grelle problemer bliver det en fyring, inddragelse af opsparet pension, retsforfølgelse, og konsekvenser for den ansattes overordnet.

Men det ville nok resultere i, at produktiviteten i det offentlige ville falde yderligere, da der nu ville være konsekvenser for at fejle. For kun de, som laver noget, kan lave fejl...

  • 2
  • 3
Peter Naumann

Debatten har ikke handlet meget om den forkerte afsenderadresse, som egentlig var problemet i Randers, men om alt muligt andet. Muligvis p.g.a. den fjollede artikel og overskrift.
Det som jeg selv bl.a. kommenterede, var at man kunne bruge TLS som en sikker kommunikation for mail. Det er så af en troll? blevet modsagt, med alle mulige luftige argumenter. Men jeg kan oplyse efter at have læst dokumenterne i forhold til Datatilsynets pressemeddelelse og desuden have talt med Datatilsynet i telefonen. At det er tilstrækkeligt at anvende TLS minimum version 1.2 som kryptering for transmissionen. Og der er intet angivet i dokumenterne om et end2end ansvar, i forhold til transmissionen. Der er naturligvis 1000 andre forhold gør sig gældende i forhold til at sende en mail, men i forhold til transmissionen er TLS 1.2 tilstrækkeligt.

  • 1
  • 5
Mads Jensen

Telefon? Hmmm., jeg fik at vide at den ansvarlige først kom tilbage fra ferie om to uger. Hvad var navnet på vedkomne du talte med?

Behandlingssikkerhed - Databeskyttelse gennem design og standardindstillinger Juni 2018 - Side 13

Citat:"I disse situationer skal du således anvende en sikker løsning, herunder f.eks. Digital Post eller bruge en forbindelse, der krypterer det overførte indhold UNDER HELE TRANSPORTEN."

UNDER HELE TRANSPORTEN. Ikke dele af transporten, men UNDER HELE TRANSPORTEN. Eksemplet Digital Post er end-to-end.

Hvis din påstand er korrekt, kan alle offentlige institutioner nu sende sende personlig information til din gmail som almindelig e-mail.

  • 9
  • 0
Peter Naumann

Det er ikke en påstand, det er et fact. Som sagt gælder det kun transmissionen, og du vil fx ikke kunne sende til en Gmail-- USA- du ved.
I nogle tilfælde vil der være andre krav og den dataansvarlige kan godt beslutte et e2e ansvar, men det er en anden sag. Dette drejer sig om transmissionen.

  • 0
  • 4
Mads Jensen

Hahaha, du er sku morsom.

Så konklusionen er at TLS 1.2 er nok til at kryptere transmissionen af PGP/MIME krypteret persondata mellem to mailservere?

fx ikke kunne sende til en Gmail-- USA- du ved.

Hvorfor ikke? Transmission er TLS 1.2, og det var dit minimumkrav for at sende persondata.

Igen, vil du fortælle os hvem du talte med fra Datatilsynet?

  • 4
  • 1
Jesper Frimann

Jeg ved ikke, hvad løsningen er. At man kræver en form for "kvittering" fra modtageren på, at det er rette vedkommende, inden man sender noget meget personfølsomt?

Jeg vil mene at løsningen nok nærmere er ikke at lave sagsbehandling over e-mail, men i derimod laver sagsbehandling i det sagsbehandlingssystem man har til formålet.

// Jesper

  • 3
  • 0
Jens-Peter Vraa Jensen

Vi har også været igennem møllen med at afdække om TLS ville være nok til at sende personfølsomme data og den korte konklusion er "Nej".

Årsagen skal findes i, at man som dataejer har ansvaret for at de fortrolige data ikke kan tilgås af andre end den tiltænkte modtager.

Så hvis man ex. sender en e-mail til en gmail.com konto, vil den jo blive afleveret sikkert til Google, men herfra ved man ikke, hvorledes emailen bliver håndteret. Hvis den sendes ukrypteret mellem interne servere, kræver det en databehandler aftalte mellem afsender og Google.

I praksis lukker det helt ned for brugen af ukrypteret email hvis de indeholder personfølsomme data, da det i praksis ikke er realistisk at indgå databehandler aftaler med alle.

Dette er bekræftet ved to forskellige samtaler med datatilsynet inden for de sidste 3 mdr.

  • 6
  • 1
Mogens Bluhme

Mit gæt er at man bruger den konventionelle indlæringsteori om at at mennesker helst skal associere noget nyt via noget de kender i forvejen.

Det er dog ikke uden en vis evidens.

Hans Henriksen er bedre end hahe@randers.dk - det minder lidt om den gamle verden, som de fleste kender.

Men det skyldes måske en kikset opdragelse.

Hvorfor ikke sige til folk at this is something completely different and you have to accommodate to this discourse?

Men det er et filosofisk spørgsmål

  • 3
  • 1
Mads Jensen

"Transporten" er vel fra punkt a til punkt b, så burde TLS jo være fint.
Når først beskeden ligger i ens Gmail inbox transporteres der jo ikke længere ?

Det kommer an på hvad punkt a) og b) er.

Den har ikke været TLS krypeteret under hele transporten til din gmail inbox.

Kun til mailserveren. Herefter har den i klartekst gennemgået phising, spam, virus, o.a. behandling hos google.

Maskinel og evt. personlig. Evt. i Israel, Thailand eller Indien. Så den danske databehandler kan ikke kontrollere det. Præcis som Jens-Peter Vraa Jensen skrev ovenfor.

Alle med visse rettigheder til mailserveren. 3 parts applikationer eller personer kan se mailen i klartekst. Som Jens-Peter Vraa Jensen skrev, du skal indgå databehandler aftaler med alle.

  • 2
  • 0
Allan S. K. Frederiksen

Den eneste løsning er lovmæssigt at tildele kommunaldirektør og borgmester en administrativ afgift på en måneds løn, ved et datalæk, stigende til en års løn ved meget grove tilfælde.

Med den trussel hængende over hovedet skal der nok bevilges penge til de nødvendige præventive løsninger.

  • 4
  • 1
Hans Nielsen

Der er jo ingen konsekvenser for offentligt ansatte, når de laver ged i den.


Det er også derfor, at det er kedeligt, at der ingen mulighed er for fængselsstraf ved gentagne, eller grove tilfælde til de ansvarlige og ledelsen.

Man begynder ikke at fyre i det offentligt, på grund af fejl. Det kunne jo danne præcedens som også kunne ramme en selv :-(

  • 0
  • 0
Camilla Bang

God ide med et langt og besværligt navn. Så ville folk snarere bruge at bruge copy-paste, i stedet for at taste e-mailadressen ind.

Jeg selv har en e-mailadresse, som folk gerne skriver galt. De pågældende mails er til forskellige personer, men personerne har alle et navn, der ligner mit.
Jeg har fået talrige forkerte mails fx indkaldelser til jobsamtaler til jobs, som jeg aldrig har søgt (og heller ikke er kvalificeret til, fx specialpædagog eller butiksassistent) samt masser af afslag på jobansøgninger. Håndværkertilbud og mails fra forsikringsselskaber med diverse privatoplysninger. Tilbud om lån fra bank med vedkommendes CPR-nr og oversigt over personens økonomi osv. osv.
Jeg har oftest kontaktet afsenderen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere