Databrud i kommune - har mistet USB-stik med 92.425 borgeres oplysninger

Et USB-stik med oplysninger på 92.425 borgere i Vejle Kommune blev væk på valgdagen. Nu advarer kommunen borgere med navne- og adressebeskyttelse om brud på datasikkerheden.

Opdatering: Siden artiklens udgivelse er USB-stikket blevet indleveret til Vejle Kommune.

Et USB-stik med navn, fødselsdato, folkeregisteradresse og valgnummer på samtlige 92.425 stemmeberettigede i Vejle Kommune blev mistet på valgdagen 16. november.

Det fremgår af et brev, som Vejle Kommune har sendt ud til omkring 1.400 af kommunens borgere, der har navne- og adressebeskyttelse.

Heri advarer kommunen om, at der med det mistede USB-stik er sket et brud på datasikkerheden.

Kommunen risikerer nu en bøde på flere hundrede tusinde kroner, vurderer en ekspert.

quote

Vi har ikke grund til at tro, at USB-drevet er blevet stjålet, eller at der på anden måde ligger en ondsindet handling bag det skete.

Brian Slot, chef for Digitalisering og IT, Vejle Kommune

USB-stik blev mistet på valgdagen

På valgdagen tirsdag den 16. november kørte en medarbejder rundt mellem valgstederne med teknisk back-up. 

Som et led i dette back-up medbragte medarbejderen et USB-stik med navn, folkeregisteradresse, fødselsdato og et valgnummer på samtlige 92.425 stemmeberettigede borgere i kommunen. 

På et tidspunkt opdagede man, at USB-stikket med de mange oplysninger var blevet væk. 

Derefter blev der straks igangsat en meget stor eftersøgning af alle de steder, hvor USB-drevet kunne være bortkommet.

IT-chef: Hændelig fejl

Afsenderen på brevet til de cirka 1.400 modtagere er Brian Slot, der er chef for Digitalisering og IT i Vejle Kommune.

- Jeg vil gerne understrege, at der højst sandsynligt er tale om en hændelig og beklagelig fejl. Vi har ikke grund til at tro, at USB-drevet er blevet stjålet eller at der på anden måde ligger en ondsindet handling bag det skete, siger Brian Slot.

Ifølge Brian Slot var oplysningerne på USB-stikket ikke krypteret.

- Det er det dilemma, der ligger her. Hvis oplysningerne havde været krypteret, så var der ingen, der ville have adgang til det på dén facon. Men det er en af de opdateringer, vi laver fremadrettet at få håndteret det sådan, at der er en stærkere kontrol med det, siger han.

Kommunen har med brevet valgt at orientere de omkring 1.400 borgere i kommunen, der har navne- og adressebeskyttelse, om bruddet på datasikkerheden og bedt dem være ekstra opmærksomme.

De øvrige berørte 91.000 borgere har ingen information fået.

Navne- og adressebeskyttelse i Danmark

Opfordrer borgere til opmærksomhed

Når kommunen ikke har set sig nødsaget til at orientere de resterende 91.000 borgere, så er det fordi, der er tale om oplysninger, der i forvejen er lette at få fat i.

- Der er tale om oplysninger, som er let tilgængelige om alle borgere, der ikke har adressebeskyttelse. De 1.400 med beskyttelse af navn og adresse opfordrer vi dog til at være særlig opmærksomme på uventede eller uopfordrede henvendelser, uopfordrede kontakter på sociale medier og andre lignende henvendelser, siger Brian Slot.

Det fremgår ikke af oplysningerne på USB-drevet, hvem af de i alt 92.425 borgere der har navne- og adressebeskyttelse.

Brev

Beklager gener

Vejle Kommunes umiddelbare vurdering af hændelsen er derfor, at der som udgangspunkt ikke er en forøget risiko for, at uvedkommende får viden om konkrete borgeres navne- og adressebeskyttelse ud fra det bortkomne USB-drev.

- Vi beklager meget det skete, og de gener det forsvundne USB-drev måske vil medføre. Vores arbejdsgange ved kommende valghandlinger bliver selvfølgelig ændret, så fejlen ikke kan ske igen, understreger Brian Slot, chef for Digitalisering og IT, Vejle Kommune.

quote

Som udgangspunkt er det altid en alvorlig sag med tab af data om så mange borgere.

Allan Frank, IT-sikkerhedsekspert og jurist i Datatilsynet

Datatilsynet vurderer sagen med alvor

Vejle Kommune anmeldte hændelsen til Datatilsynet søndag den 21. november, hvad tilsynet også bekræfter over for TV SYD.

- Vi skal nu vurdere sagens nærmere omstændigheder. Som udgangspunkt er det altid en alvorlig sag med tab af data om så mange borgere. Nu skal vi helt konkret have klarlagt, hvor let det vil være at få adgang til oplysningerne, hvis man uretmæssigt får fingre i USB-drevet, siger Allan Frank, IT-sikkerhedsekspert og jurist i Datatilsynet.

Datatilsynet sanktionsmuligheder går fra kritik til bøder på flere hundrede tusinde kroner.