Randers Kommune blev allerede tilbage i 2013 kontaktet af Datatilsynet, fordi kommunen med en slåfejl i en jobannonce på jobnet.dk havde sørget for, at små hundrede jobansøgninger endte i maildomænet @anders.dk og ikke @randers.dk.
Det viser en aktindsigt, Version2 har fået hos Datatilsynet.
»Jeg orienterede Randers Kommune om, at det er deres ansvar som dataansvarlig, at lignende episoder (at der ved en fejl ryger følsom post til Anders og ikke Randers, red.) ikke opstår i fremtiden,« skriver Datatilsynets daværende sagsbehandler i et notat af en telefonsamtale med kommunens daværende it-sikkerhedschef Bent Rohde, i 2013.
Domænet anders.dk er ejet af en privatperson, der over de seneste år har modtaget mere end tusind fejlsendte mails, der var tiltænkt Randers Kommune. Herunder mails med CPR-numre, fyresedler, sundhedsoplysninger og en lang række andre dybt følsomme oplysninger om og fra borgere. En god del af de fejlsendte mails kommer dog fra Randers Kommune selv, der relativt nemt kunne have undgået nogle af de mange hovsa-mails med diverse tekniske løsninger.
Det er altså ikke bare modtageren af de mange hovsa-mails gennem de sidste mange år, Anders Lorensen, der flere gange har advaret Randers Kommune. Datatilsynet som tilsynsmyndighed har også hævet pegefingeren over for kommunen, efter at Anders Lorensen, og ikke engang kommunen selv, informerede Datatilsynet.
Burde have stødt på henvendelsen
It-chefen i Randers Kommune, Bent Højlund, fastholder i flere omgange over for Version2, at han ikke kendte til problemerne med de mange fejlsendte e-mails, før Version2 kontaktede kommunen. Han har heller aldrig hørt om korrespondancen mellem hans tidligere it-sikkerhedschef og Datatilsynet. Det skaber panderynker både hos Datatilsynets kontorchef Jesper Vang og advokat hos Lebora Legal Catrine Byrne.
»Randers Kommune burde have set det her i forbindelse med deres forberedelser til GDPR. Hvis man ikke har undersøgt, om man har tidligere sager med Datatilsynet, så har man allerede dér et muligt hul i ens datasikkerhed,« siger Catrine Byrne og bakkes op af Datatilsynet selv;
»Det er et godt sted at starte, så det ville da være smart for Randers Kommune. Når vi fører tilsyn så vil vi tit se, hvad vi har haft med kommunen de sidste år. Kan vi se en klagesag, er det sikkert det, man ville kigge på i et tilsyn,« siger Jesper Vang.
Noget tyder på, at Randers Kommune skulle have været bedre til at kommunikere internt.
For episoderne stopper ikke efter datatilsynets henvendelse. Allerede i 2014 sker der et nyt læk; Randers Kommune jokker i spinaten og sender en mail med CPR-nummer, underskrifter og en omfattende mængde øvrige informationer om en borger.
Siden da er det dybt ulovlige, drypvise læk fortsat ved flere lejligheder.
Men hvorfor gjorde Datatilsynet ikke andet end at ringe Randers Kommune op et par gange?
»Vi har ikke haft grund til at tro, at de ikke ville rette ind. Når man læser telefonnotatet (af samtalen med Randers Kommune, red.) ser det ud, som om Randers Kommune havde fået styr på det,« siger Jesper Vang og fortæller, at havde man vidst, at Randers få måneder efter ville bryde loven igen, så havde denne opfattelse nok ændret sig.
»Og så havde man nok sendt en skriftlig høring.«
Viser naivt Datatilsyn
Det undrer Catrine Byrne, at Datatilsynet ikke gjorde mere ved sagen dengang, men hun anerkender, at Datatilsynet dengang var mindre bemidlet og derfor kan have haft sværere ved at tage sagen op ‘af egen drift’.
På den måde kunne Datatilsynet have løftet sagen op fra en anmeldelse fra Anders Lorensen til en reel og mere generel sag om Randers Kommunes mailprolemer.
»Det tyder på, at en vis naivitet har præget Datatilsynet, og eksemplet viser, at hvis der er regler, men ikke noget tilsyn, så er der ikke nogle konsekvenser, og så bliver reglerne ikke overholdt,« siger Catrine Byrne og henviser til, at Randers i adskillige tilfælde har sendt følsom post til Anders Lorensen efter Datatilsynets henvendelse.
I øvrigt har Bent Rohde slet ikke informeret deres it-chef eller andre i kommunen om problemet efter Datatilsynets opkald.
»Sagen her viser vel dybest set, at forestillingen om, at samfundet passer på os og vores data og sørger for, at de ikke bliver misbrugt, er forkert,« siger Catrine Byrne, der mener, vi er ‘velfærdsramte’.
Datatilsyn: Vi havde gjort det anderledes i dag
Hos Datatilsynet erkender man, at man burde have oprettet en sag af egen drift, men ifølge Jesper Vang reagerede Datatilsynet så godt og hurtigt, det kunne.
»Vi ringede med det samme for at stoppe lækket så hurtigt som muligt, og jeg synes ikke, den vurdering, der blev gjort dengang, var forkert,« lyder det fra kontorchefen.
Alligevel ville han ikke gøre det samme i dag.
»I dag ville vi have sendt Randers Kommune et høringsbrev og ikke have håndteret sagen telefonisk. At håndtere en sag telefonisk var nok mere anvendt tilbage i 2013.«
Anders Lorensen fortæller desuden til Version2, at der gik tre måneder fra han anmeldte episoden til Datatilsynet ringede ham op for at høre nærmere, så helt øjeblikkelig har sagsbehandlingen ikke været.
Jesper Vang kan endnu ikke udtale sig om den nye sag, der er blevet oprettet om Randers Kommunes hovsa-mails, men oplyser i et skriftligt svar til Version2, at sagen er kategoriseret med en alvorsgrad ‘der indebærer, at der vil blive sendt et høringsbrev til kommunen’.
Version2 har d. 6. september valgt at fjerne sagsbehandlerens navn fra artiklen for at beskytte vedkommende som menig ansat i Datatilsynet. Redaktionen er bekendt med navnet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
