Silkeborg Kommune deler 13.000 skolebørns CPR-numre i usikker mail

Illustration: Kuzina Natali / Bigstock Photo
Næsten 13.000 skolebørns CPR-numre blev sendt i en ukrypteret e-mail af Silkeborg Kommune, og det får nu alvorlig kritik af Datatilsynet.

Datatilsynet udtaler alvorlig kritik af Silkeborg Kommunes sikkerhedsforanstaltninger, fordi kommunen i en ukrypteret e-mail har sendt fortrolige og følsomme oplysninger med CPR-nummer, skolenavn og skolekode på 12.915 skoleelever.

Det var en menneskelig fejl, der var skyld i den ukrypterede e-mail.

Det skriver Datatilsynet i en pressemeddelelse.

E-mailen blev ifølge Datatilsynets afgørelse sendt 3. februar 2021 til Danmarks Statistik Consulting.

Silkeborg Kommune anvendte på daværende tidspunkt TLS 1.1 kryptering i kommunen, men det anser Datatilsynet ikke som værende passende sikkerhed. De manglende sikkerhedsforanstaltninger er et brud på databeskyttelsesforordningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Gert Madsen

"E-mailen blev ifølge Datatilsynets afgørelse sendt 3. februar 2021 til Danmarks Statistik Consulting."

Hvad skal Danmarks Statistik Consulting med børnenes personnummer?

  • 12
  • 0
#2 Jens Beltofte

Hvad skal Danmarks Statistik Consulting med børnenes personnummer?

Et gæt vil være så de kan sammenkøre datasættet med andre datasæt. Men det virker helt vanvittigt hvis de gør det og bevidst får udleveret data på den måde fra kommunerne.

DST skriver selv følgende på deres website:

Hvis du ikke kan finde de oplysninger, du søger, i Statistikbanken eller blandt vores andre statistikprodukter og ydelser så fortvivl ikke. **Danmarks Statistik kan kombinere en lang række statistiske oplysninger ved hjælp af personers CPR-numre, virksomheders CVR-numre og ejendomsdata fra BBR-registret. **

  • 5
  • 0
#6 Morten Jensen

Jeg har nær familie der arbejder tæt sammen med DST i det offentlige.

Her mener man, at ukrypteret data kan anses som krypteret hvis blot transporten til modtager er krypteret - fx med TLS.

Jeg mener personligt det er et figenblad, for dataene er ikke krypteret “i hvile” - kun under transporten.. Det hele kunne i princippet ligge ukrypteret i /var/spool/mail/ et sted...

Jeg tror personligt det bunder i at nogen har misforstået hvad TLS er og gør - ikke i bevidst misforståelse.

  • 0
  • 0
Log ind eller Opret konto for at kommentere