Silkeborg Kommune deler 13.000 skolebørns CPR-numre i usikker mail

6 kommentarer.  Hop til debatten
Silkeborg Kommune deler 13.000 skolebørns CPR-numre i usikker mail
Illustration: Kuzina Natali / Bigstock Photo.
Næsten 13.000 skolebørns CPR-numre blev sendt i en ukrypteret e-mail af Silkeborg Kommune, og det får nu alvorlig kritik af Datatilsynet.
25. november 2021 kl. 10:12
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet udtaler alvorlig kritik af Silkeborg Kommunes sikkerhedsforanstaltninger, fordi kommunen i en ukrypteret e-mail har sendt fortrolige og følsomme oplysninger med CPR-nummer, skolenavn og skolekode på 12.915 skoleelever.

Det var en menneskelig fejl, der var skyld i den ukrypterede e-mail.

Det skriver Datatilsynet i en pressemeddelelse.

E-mailen blev ifølge Datatilsynets afgørelse sendt 3. februar 2021 til Danmarks Statistik Consulting.

Artiklen fortsætter efter annoncen

Silkeborg Kommune anvendte på daværende tidspunkt TLS 1.1 kryptering i kommunen, men det anser Datatilsynet ikke som værende passende sikkerhed. De manglende sikkerhedsforanstaltninger er et brud på databeskyttelsesforordningen.

6 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
28. november 2021 kl. 23:47

Jeg har nær familie der arbejder tæt sammen med DST i det offentlige.

Her mener man, at ukrypteret data kan anses som krypteret hvis blot transporten til modtager er krypteret - fx med TLS.

Jeg mener personligt det er et figenblad, for dataene er ikke krypteret “i hvile” - kun under transporten.. Det hele kunne i princippet ligge ukrypteret i /var/spool/mail/ et sted...

Jeg tror personligt det bunder i at nogen har misforstået hvad TLS er og gør - ikke i bevidst misforståelse.

De skriver at data blev sendt ukrypteret men som jeg læser artiklen, så blev det krypteret med TLS 1.1 kryptering men datatilsynet mener så ikke at det var kryptering nok. Så var der da gjort noget.

4
25. november 2021 kl. 15:26

Har Silkeborg Kommune elevernes samtykke til at videresende oplysninger til tredjepart? Uanset om det er krypteret eller ej.

3
25. november 2021 kl. 15:00

... Datatilsynet rigtig gerne vil have, at den generelle opfattelse af dem skal være, at man IKKE skal tage dem seriøst - jamen så skal de da endelig bare fortsætte som hidtil.

2
25. november 2021 kl. 13:01

Hvad skal Danmarks Statistik Consulting med børnenes personnummer?

Et gæt vil være så de kan sammenkøre datasættet med andre datasæt. Men det virker helt vanvittigt hvis de gør det og bevidst får udleveret data på den måde fra kommunerne.

DST skriver selv følgende på deres website:

Hvis du ikke kan finde de oplysninger, du søger, i Statistikbanken eller blandt vores andre statistikprodukter og ydelser så fortvivl ikke. **Danmarks Statistik kan kombinere en lang række statistiske oplysninger ved hjælp af personers CPR-numre, virksomheders CVR-numre og ejendomsdata fra BBR-registret. **

1
25. november 2021 kl. 12:57

"E-mailen blev ifølge Datatilsynets afgørelse sendt 3. februar 2021 til Danmarks Statistik Consulting."

Hvad skal Danmarks Statistik Consulting med børnenes personnummer?