Datatilsynet giver skarp kritik af kommune efter FTP-brøler: Det er tredje gang på fire år

Illustration: Kalundborg Kommune
Kalundborg får for tredje gang påtale for at passe for dårligt på persondata

Det er et klokkeklart brud på persondataloven, at Kalundborg Kommune har gemt store mængder følsomme persondata på en usikret FTP-server.

Det konstaterer Datatilsynet i en afgørelse.

Læs også: Kalundborg Kommune: Tusindvis af fortrolige filer lagt op usikret på server

Myndigheden kalder det meget kritisabelt, at mere end 7.000 CPR-nummer og mere end 72 tilfælde af følsomme oplysninger har været opbevaret på en FTP-server, hvor de har været tilgængelige for uvedkommende.

Kalundborg Kommunes ulovlige omgang med data blev afsløret i november, da en journalist fra Børsen blev tildelt direkte adgang til serveren, hvor persondata lå ukrypteret.

Fadæsen fik Kalundborg til at haste-nulstille samtlige administratorkodeord i kommunen, viste en aktindsigt, som Version2 fik i januar.

Læs også: Kalundborg: Én dum databaseoverførsel starter 5-dages maraton med password-skift

Kalundborg Kommune har desuden fastholdt, at FTP-serveren var sikret.

Men den påstand er Datatilsynet ikke enig i. Tilsynet lægger vægt på, at »der er benyttet en usikret FTP-server, at denne var eksponeret mod et af kommunen ikke kontrolleret netværk (i.e. internettet), at der har været tildelt og benyttet delte brugernavne og kendeord,« samt at adgangen til data ikke har været segmenteret på nogen måde.

Dermed har kommunen forsømt at leve op til de forpligtelser, en dataansvarlig har i persondataloven. Loven kræver nemlig blandt andet, at man træffer de »fornødne tekniske og organisatoriske sikkerhedsforanstaltninger« så data ikke mistes eller falder i forkerte hænder.

Skærpende omstændigheder

Det er ikke første gang, at Datatilsynet giver Kalundborg Kommune besked på at leve op til persondataloven.

I to tidligere afgørelser har tilsynet kaldt det både beklageligt og meget beklageligt, at kommunen ikke beskytter borgernes data godt nok. I begge tilfælde har kommunen lovet forbedringer - blandt andet i form af nye, reviderede sikkerhedsregler for, hvordan man håndterer følsomme oplysninger.

Læs også: Datatilsynet: Vi bliver sat skakmat, når myndigheder ignorerer vores kritik

»Trods de gennemførte tiltag kan Datatilsynet konstatere, at der endnu en gang inden for et kortere tidsrum, er offentliggjort fortrolige personoplysninger fra kommunens side,« konstatere tilsynet i afgørelsen, der fortsætter:

»Set i lyset af det anførte om risikoprofilen for den valgte tekniske løsning og idet Kalundborg Kommune trods tidligere udtalelser om at sikre de fornødne organisatoriske sikkerhedsforanstaltninger, igen står med en sikkerhedsbrudsag finder Datatilsynet at der er tale om en sag med skærpende omstændigheder.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Lasse Mølgaard

Nu har jeg ikke noget at gøre med dataforvatning i det offentlige, men der er immervæk en hel del tiltag der kan laves, før at udveksle data på en mere sikker og ansvarlig måde.

Jeg kan nævne i flæng:

  • TLS kryptering (aka sftp).
  • Virtuel root, så folk kan kun se indhold af de mapper de må se og ikke andet på serveren.
  • Klient certifikater, så man kan ikke dele et brugernavn med en anden bruger.

Men igen: I det offentlige er der stadigvæk ikke muligt at indføre konsekvenser, når de ignorer alle beskeder om at stramme på sikkerheden.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017