‘Naivt’ Datatilsyn kontaktede Randers Kommune om problemer med hovsa-mails allerede i 2013

Illustration: Version2
Korrespondencen mellem Datatilsynet og Randers Kommune tyder på tandløst tilsyn, mener jurist. Datatilsynet erkender, at man var gået hårdere til Randers Kommune i dag, end man gjorde i 2013.

Randers Kommune blev allerede tilbage i 2013 kontaktet af Datatilsynet, fordi kommunen med en slåfejl i en jobannonce på jobnet.dk havde sørget for, at små hundrede jobansøgninger endte i maildomænet @anders.dk og ikke @randers.dk.

Det viser en aktindsigt, Version2 har fået hos Datatilsynet.

»Jeg orienterede Randers Kommune om, at det er deres ansvar som dataansvarlig, at lignende episoder (at der ved en fejl ryger følsom post til Anders og ikke Randers, red.) ikke opstår i fremtiden,« skriver Datatilsynets daværende sagsbehandler i et notat af en telefonsamtale med kommunens daværende it-sikkerhedschef Bent Rohde, i 2013.

Det er altså ikke bare modtageren af de mange hovsa-mails gennem de sidste mange år, Anders Lorensen, der flere gange har advaret Randers Kommune. Datatilsynet som tilsynsmyndighed har også hævet pegefingeren over for kommunen, efter at Anders Lorensen, og ikke engang kommunen selv, informerede Datatilsynet.

Burde have stødt på henvendelsen

It-chefen i Randers Kommune, Bent Højlund, fastholder i flere omgange over for Version2, at han ikke kendte til problemerne med de mange fejlsendte e-mails, før Version2 kontaktede kommunen. Han har heller aldrig hørt om korrespondancen mellem hans tidligere it-sikkerhedschef og Datatilsynet. Det skaber panderynker både hos Datatilsynets kontorchef Jesper Vang og advokat hos Lebora Legal Catrine Byrne.

»Randers Kommune burde have set det her i forbindelse med deres forberedelser til GDPR. Hvis man ikke har undersøgt, om man har tidligere sager med Datatilsynet, så har man allerede dér et muligt hul i ens datasikkerhed,« siger Catrine Byrne og bakkes op af Datatilsynet selv;

»Det er et godt sted at starte, så det ville da være smart for Randers Kommune. Når vi fører tilsyn så vil vi tit se, hvad vi har haft med kommunen de sidste år. Kan vi se en klagesag, er det sikkert det, man ville kigge på i et tilsyn,« siger Jesper Vang.

Noget tyder på, at Randers Kommune skulle have været bedre til at kommunikere internt.
For episoderne stopper ikke efter datatilsynets henvendelse. Allerede i 2014 sker der et nyt læk; Randers Kommune jokker i spinaten og sender en mail med CPR-nummer, underskrifter og en omfattende mængde øvrige informationer om en borger.

Siden da er det dybt ulovlige, drypvise læk fortsat ved flere lejligheder.

Men hvorfor gjorde Datatilsynet ikke andet end at ringe Randers Kommune op et par gange?

»Vi har ikke haft grund til at tro, at de ikke ville rette ind. Når man læser telefonnotatet (af samtalen med Randers Kommune, red.) ser det ud, som om Randers Kommune havde fået styr på det,« siger Jesper Vang og fortæller, at havde man vidst, at Randers få måneder efter ville bryde loven igen, så havde denne opfattelse nok ændret sig.

»Og så havde man nok sendt en skriftlig høring.«

Viser naivt Datatilsyn

Det undrer Catrine Byrne, at Datatilsynet ikke gjorde mere ved sagen dengang, men hun anerkender, at Datatilsynet dengang var mindre bemidlet og derfor kan have haft sværere ved at tage sagen op ‘af egen drift’.

På den måde kunne Datatilsynet have løftet sagen op fra en anmeldelse fra Anders Lorensen til en reel og mere generel sag om Randers Kommunes mailprolemer.

»Det tyder på, at en vis naivitet har præget Datatilsynet, og eksemplet viser, at hvis der er regler, men ikke noget tilsyn, så er der ikke nogle konsekvenser, og så bliver reglerne ikke overholdt,« siger Catrine Byrne og henviser til, at Randers i adskillige tilfælde har sendt følsom post til Anders Lorensen efter Datatilsynets henvendelse.

I øvrigt har Bent Rohde slet ikke informeret deres it-chef eller andre i kommunen om problemet efter Datatilsynets opkald.

»Sagen her viser vel dybest set, at forestillingen om, at samfundet passer på os og vores data og sørger for, at de ikke bliver misbrugt, er forkert,« siger Catrine Byrne, der mener, vi er ‘velfærdsramte’.

Datatilsyn: Vi havde gjort det anderledes i dag

Hos Datatilsynet erkender man, at man burde have oprettet en sag af egen drift, men ifølge Jesper Vang reagerede Datatilsynet så godt og hurtigt, det kunne.

»Vi ringede med det samme for at stoppe lækket så hurtigt som muligt, og jeg synes ikke, den vurdering, der blev gjort dengang, var forkert,« lyder det fra kontorchefen.

Alligevel ville han ikke gøre det samme i dag.

»I dag ville vi have sendt Randers Kommune et høringsbrev og ikke have håndteret sagen telefonisk. At håndtere en sag telefonisk var nok mere anvendt tilbage i 2013.«

Anders Lorensen fortæller desuden til Version2, at der gik tre måneder fra han anmeldte episoden til Datatilsynet ringede ham op for at høre nærmere, så helt øjeblikkelig har sagsbehandlingen ikke været.

Jesper Vang kan endnu ikke udtale sig om den nye sag, der er blevet oprettet om Randers Kommunes hovsa-mails, men oplyser i et skriftligt svar til Version2, at sagen er kategoriseret med en alvorsgrad ‘der indebærer, at der vil blive sendt et høringsbrev til kommunen’.

Version2 har d. 6. september valgt at fjerne sagsbehandlerens navn fra artiklen for at beskytte vedkommende som menig ansat i Datatilsynet. Redaktionen er bekendt med navnet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Larsen

Enig, det er et problem at medarbejderne ikke forstår sikkerhed, når de skal tvinges til at arbejde digitalt. Men endnu større bliver problemet når vores politikere tvinger alle borgerne til at benytte digitale løsninger.
Så leverer de uvidende borgere data til løsninger der ikke er sikret, så medarbejdere der heller ikke fatter noget kan sprede data uden konsekvens.

  • 11
  • 0
Klaus Godtkjær

Ja, den kommune er galt på den. Ja, datatilsynet har sovet i timen. Ja, der skal strammes op. Ja, de har godt af at komme i vridemaskinen.

MEN, hvorfor må Anders.dk i ond tro, blive ved med at have "catch all" eller måske endda lave decideret postkasser som matcher dem kommunen har, på noget han så udmærket ved at Personfølsomme oplysninger? Det er ikke drengestreger længere så?

Ejeren af Anders.dk fisker så grumt som nogen kan fiske. Det er jo ikke ligefrem for at han prøver at styre udenom? ;)

  • 2
  • 33
Kenn Nielsen
  • 25
  • 0
Maciej Szeliga

MEN, hvorfor må Anders.dk i ond tro, blive ved med at have "catch all" eller måske endda lave decideret postkasser som matcher dem kommunen har, på noget han så udmærket ved at Personfølsomme oplysninger? Det er ikke drengestreger længere så?

Hvor står det lige at man ikke må have catch all postkasse på sit eget domæne?
1. Det er AFSENDEREN som skal sikre sig at adressen er korrekt
2. Mails fra det offentlige med personfølsomme data må ikke sendes ukrypteret
3. Mails fra det offentlige med personfølsomme data SKAL sendes til DigitalPost eller hvis sådan ikke forefindes via helt alm. post

PS. ja, jeg mener også du er en Troll!

  • 10
  • 0
Niels Danielsen

MEN, hvorfor må Anders.dk i ond tro, blive ved med at have "catch all" eller måske endda lave decideret postkasser som matcher dem kommunen har, på noget han så udmærket ved at Personfølsomme oplysninger? Det er ikke drengestreger længere så?


Det er da en normal praktisk måde at håndtere sin private mailserver på.
Jeg bruger en nyt mail adresse hver gang jeg opretter en konto et eller andet sted, typisk indeholdende navnet på sitet, Og jeg skriver den ikke nødvendigvis ned.
Når der så kommer spam til linkedin@mydomain så kan jeg godt gætte hvor lækagen kommer fra. Jeg vil tro at jeg gennem tiden har brugt 100 forskellige email adresser.

  • 8
  • 0
Henrik Størner

Der er da et par andre muligheder for lignende forvekslinger, som jeg lige kan komme på:

  • Lejre kommune (lejre.dk) kan vel let blive "lejr.dk", "lejer.dk" eller "ejer.dk"
  • Sorø kommune (soroe.dk) kan vel let blive "oroe.dk"
  • Vejen kommune (vejen.dk) og "vejn.dk" ?
  • Stevns kommune (stevns.dk) og "stevn.dk" - det ligner helt samme problematik, da stevn.dk vist er privat ejet.

Morsø kommune har vist gjort det rigtige, de ejer både "morsoe.dk" og "mors.dk". Ditto med Faxe kommune (faxe.dk og fakse.dk).

  • 4
  • 0
Henrik R Jørgensen

At hænge "konsulenten" ud med navn, Version2. Det er ikke rigtigt til at se nødvendigheden i det. At starte en egen drift-sag er en ledelsesbeslutning, og ikke én den enkelte medarbejder træffer.

Og lige nu kan det virke massivt i denne @anders.dk-kampagne. Men hvis du som tilsynsmedarbejder modtager en enkelt henvendelse, der vedrører en "typo" i et enkelt jobopslag for en enkelt kommune, så vil det nok være nærliggende at søge at håndtere sagen hurtigt og effektivt ved at ringe til kommunen.

Der er fakta, vi ikke er bekendt med her, og det forbehold må tages, men at slutte at der ikke er noget tilsyn, synes alligevel til den grove ende, Caterine.

  • 0
  • 3
Jan Larsen

På samme måde kan man mene at nogle er i "ond tro" hvis de modtager et brev der skulle have være afleveret til naboen.

  • Man har jo selv stillet postkassen ved vejen!
  • Solen har bleget navnet?
  • Husnummeret var svært at læse?

Og tænk hvis man har købt et hus på Fakkelvej 12 og modtager et brev til Falkevej 12. Så tænker jeg vi bør overveje motivet til huskøbet...

  • 1
  • 0
Henrik Størner

Den vej jeg bor på starter i det ene hjørne af en lille plads. Så på venstre side af gadeskiltet er det nr 13 på pladsens gadenavn, og på højre side af gadeskiltet (og lidt ned ad vejen) ligger så nr 13 på min vej.

Dengang der var fodpost til fik vi jævnligt post til hinanden.

  • 0
  • 0
Claus Bobjerg Juul

Kære Klaus Godtkjær

Jeg gætter på at du ikke er it-tekniker eller jurist.

At tage domænet Anders.dk fra Anders vil være noget ala ekspropriation, det har muligvis et andet navn i denne sammenhæng.
At forhindre en catch-all når Anders har brugsretten til Anders.dk er teknisk umuligt.

På den mere følelsesmæssige side, hvorfor skal Anders straffes for at Randers ikke kan styre deres email anvendelse?

  • 3
  • 0
Malthe Høj-Sunesen

Dengang jeg gik i gymnasiet (midt-sidst 00'er) havde jeg en ven, som boede på Skovxxxxparken 80, og min kæreste boede Borgxxxxparken 80. De to adresser ligger ca. 3 km fugleflugt fra hinanden, i to forskellige byer. Jeg var nødt til at agere mellempostmand med jævne mellemrum for at blade og breve landede rigtigt.

Gad vide hvem, der var i ond tro i dét tilfælde?

  • 2
  • 0
Mike Mikjær Blogger

Godt en ugestid før d. 25 Maj var jeg og en kammerat i Randers Svømmehal, eller dvs. vi nåede aldrig ind, fordi da vi forsøgte at købe billet til wellness-område, bad de om at se (hun rakte hånden frem, så hun ville tydeligvis mere end at se) vores sygesikringskort.

Det viste sig at vi ikke kunne komme ind med mindre hun fik lov at registrere os med CPR Nummer i hendes computer ... Jeg kommer en del i den slags steder over hele landet, og i alt fra Østerbro Kurbad til Sydthu Kurbad har det aldrig kostet andet end billetprisen og et smil at komme ind, tror ikke engang jeg er blevet spurgt om mit navn ... men det er åbenbart nødvendigt i Randers.

Nuvel, jeg bad om at få udleveret skriftlig dokumentation for formålet med registreringen, samt håndtering af mine data - det kunne jeg ikke, kassedammen fortalte mig at det ville blive slettet når dagen var ovre og hun forstod ikke rigtig hvorfor jeg havde svært ved at tro på hende.

Så bad jeg om at snakke med chefen, hvorefter hun gik ud i køkkenet og hentede køkkenchefen - det var åbenbart hende (køkkenchefen) der havde aben den dag, nuvel jeg forklarer situationen og forklarer hende mine betænkeligheder ved at lade mig registrere med personlige oplysninger i en database der håndteres af medarbejdere der tydeligvis ikke besider basal træning i håndtering af personfølsomme oplysninger.

Køkkenchefens øjeblikkelige svar var at GDPR ikke var trådt i kræft endnu, så jeg kunne bare lukke og udlevere mit sygesikringskort hvis jeg ville ind.

Jeg forsøgte at forklare hende at GDPR så sandelig var trådt i kraft, og at den 25. blot var skæringsdatoen for hvornår det kostede bøder ikke at respektere sine kunder privatliv. Den affejede hun med et "Det passer ikke"

Og så begyndte hun at snakke om at kurbaden var "en klub man melder sig ind i for en dag af gangen" og ramblede afsted ud af en tanget, sikkert noget hun havde hørt fra en advokat i kommunen eller lign, jeg stoppede hende og spurgte om hun ikke selv kunne høre at det var noget forfærdeligt vrøvl og at den selvfølgelig aldrig ville holde i byretten når samtlige (jeg nævte 9 forskellige svømmehaller og wellness steder jeg jævnligt frekventerer) gør det stikmodsatte.

Vi kom ikke ud og bade den dag, og jeg overvejer stadig at melde sagen til datatilsynet.

  • 12
  • 1
Dan Christensen

Nu har han tidligere faktik fortalt hvorfor han har Catch-all på sit domæne, menlig at lave en google@, apple@, microsoft@ osv, som ikke er realle mailboxes. Det har med mine øje ikke noget med at fiske at gøre, men at bruge de funktioner teknologien har gået os. Jeg gør det, flere hosting firmaer gør det, ja selv firmaer...

  • 0
  • 0
Hans Nielsen

At hænge "konsulenten" ud med navn,


Synes nu det er helt fint, når de stadig efter sådan sager får deres bonusser samt løn, og ikke en fyreseddel.
Når så datatilsynet heller ikke evner at give bøder, eller på anden måde sikre gentagelse tilfælde.

Så er det i det demokratisk samfund, offentligheden en af de sidste måder man kan trænge igennem systemet. Det virker så langt bedre, når ansvarlige enkeltpersoner ser de kan blive draget direkte personligt til ansvar for manglende opfyldning af ens arbejde.

At manden ikke kan få et tilsvarende nyt job, det skulle han nok have tænkt på mens han misvedligeholdt det gamle.

  • 0
  • 0
Henrik R Jørgensen

Det er en meget fin erkendelse, at når man ikke ved alt, ved man måske kun meget lidt, Hans.

Som jeg har redegjort for oven for, er det ret tvivlsomt, om der overhovedet er tale om en misvedligeholdelse (sic).

Jeg kan ikke være uenig med dig i, at manglende håndhævelse i form af bøder kan have haft en indvirkning på området, men dette forhold kan ingenlunde tilskrives en fuldmægtigs behandling af en enkelt sag.

  • 0
  • 0
Anne-Marie Krogsbøll

Det var da en skrækkelig historie, Mikkel Mikjær - lige til en stand up - optræden, hvis ikke det også var så alvorligt. Hvis man køber billet, så melder man sig vel ikke ind? Jeg er da meget nysgerrig efter, hvad formålet er med det. Er det en kommunal svømmehal?

Jeg synes da bestemt, at du skal melde det, for det er da en grov overtrædelse af regler, som velsagtens sker hundreder af gange dagligt stadigvæk. Igen får jeg lyst til at udbryde: "Hvad bilder de sig ind"?

Verden er blevet bindegal, det må være konklusionen...

  • 5
  • 1
Anne-Marie Krogsbøll

Lidt googling afslører, at Water & Wellness (som jeg går ud fra, det drejer sig om) er et offentligt-privat partnerskab:
" For at få adgang til vores Wellness-afdeling skal der vises gyldigt sygesikringskort. På dagen står gæster opført som besøgende og alle oplysninger behandles jf. persondataloven."

Men hvad formålet er, hvordan og hvornår der slettes, og hvad den databehandling konkret indebærer, det fremgår jo ikke. Og det har man vel krav på at få oplyst - skriftligt?

  • 6
  • 1
Peter Makholm Blogger

Fra artiklen:

»Randers Kommune burde have set det her i forbindelse med deres forberedelser til GDPR. Hvis man ikke har undersøgt, om man har tidligere sager med Datatilsynet, så har man allerede dér et muligt hul i ens datasikkerhed,« siger Catrine Byrne og bakkes op af Datatilsynet selv

Hvor mange kommuner og andre offentlige myndigheder har i forbindelse med GDPR kontaktet Datatilsynet om tidligere sager?

Fremgår denne anbefaling af informationsmateriale fra Datatilsynet eller andre statslige myndigheder? Jeg kan ikke umidelbart se at det fremgår at Datatilsynets introduktionspjece om de nye regler

  • 0
  • 0
Lars Christensen

At postulere at Datatilsynet er naivt - er vel i bund og grund en smule naivt! Datatilsynet er et offentligt redskab og dermed offentligt finansieret.
Hvis politikerne på Borgen ikke mener at Datatilsynet er særlig vigtigt, så får de heller ikke ret mange penge til kontrol.
Selvfølgelig ville en sag i dag efter GDPR er indført, blive behandlet meget anderledes end for 5 år siden - der er jo både indført lovgivning og øget på finansieringen.
Jeg har af flere omgang for år tilbage benyttet Datatilsynet med meget stor succes - så Datatilsynet har i mindre sparefikserede tider været meget effektivt.
Jeg forstår godt V2's behov for "pang" overskrifter - meeen……. en smule dybdeborende journalistik var ikke af vejen

  • 0
  • 0
Anne-Marie Krogsbøll

... i det offentlige:
"Randers Kommune efter hård kritik fra Datatilsynet: "Vi smider ikke alt, vi har i hænderne, fordi der kommer en ny lov. Vi har rigtig mange love, vi hele tiden skal overholde, så vi er også nødt til at gå til det ud fra en prioritering"
Read more at https://www.computerworld.dk/art/248468/randers-kommune-efter-haard-krit...

Hvor er det vanvittigt arrogant! "Vi skal nok selv prioritere, hvilke love vi gider overholde."

Eller er de bare ufatteligt dumme i IT-afdelingen i Randers Kommune? Randers Kommune har vel - ligesom andre offentlige institutioner og firmaer - vidst i adskillige år, at GDPR ville komme, og det er vel ikke engang noget nyt som følge af GDPR, at der skal oprettes databehandleraftaler?

"Mandag udtrykte Datatilsynet alvorlig kritik af Randers Kommune for ikke at have indgået databehandleraftaler med 68 leverandører.
Kritikken er Datatilsynets skrappeste våben, inden man griber til bødeblokken hos den danske datamyndighed."

Så hvad skal der til, før man faktisk griber til bødeblokken? Skal borgmesteren sælge borgernes private data, og selv skumme fortjenesten?

Mistilliden til det offentliges omgang med persondata bliver ikke større og større - den bliver mindre og mindre. og mistilliden til, at Datatilsynet overhovedet har nogle tænder at bide med, er også ved at være væk. Hvem er det, som har givet Datatilsynet mundkurv på, så de ikke tør bide?

  • 0
  • 0
Anne-Marie Krogsbøll

Mistilliden til det offentliges omgang med persondata bliver ikke større og større - den bliver mindre og mindre.


Vrøvl - det skal selvfølgelig være omvendt:
""Tilliden til det offentliges omgang med persondata bliver ikke større og større - den bliver mindre og mindre. Og tilliden til, at Datatilsynet overhovedet har nogle tænder at bide med, er også ved at være væk. Hvem er det, som har givet Datatilsynet mundkurv på, så de ikke tør bide? "

  • 0
  • 0
Log ind eller Opret konto for at kommentere