Databrud i kommune - har mistet USB-stik med 92.425 borgeres oplysninger
Et USB-stik med oplysninger på 92.425 borgere i Vejle Kommune blev væk på valgdagen. Nu advarer kommunen borgere med navne- og adressebeskyttelse om brud på datasikkerheden.
Opdatering: Siden artiklens udgivelse er USB-stikket blevet indleveret til Vejle Kommune.
Et USB-stik med navn, fødselsdato, folkeregisteradresse og valgnummer på samtlige 92.425 stemmeberettigede i Vejle Kommune blev mistet på valgdagen 16. november.
Det fremgår af et brev, som Vejle Kommune har sendt ud til omkring 1.400 af kommunens borgere, der har navne- og adressebeskyttelse.
Heri advarer kommunen om, at der med det mistede USB-stik er sket et brud på datasikkerheden.
Kommunen risikerer nu en bøde på flere hundrede tusinde kroner, vurderer en ekspert.
Vi har ikke grund til at tro, at USB-drevet er blevet stjålet, eller at der på anden måde ligger en ondsindet handling bag det skete.
Brian Slot, chef for Digitalisering og IT, Vejle Kommune
USB-stik blev mistet på valgdagen
På valgdagen tirsdag den 16. november kørte en medarbejder rundt mellem valgstederne med teknisk back-up.
Som et led i dette back-up medbragte medarbejderen et USB-stik med navn, folkeregisteradresse, fødselsdato og et valgnummer på samtlige 92.425 stemmeberettigede borgere i kommunen.
På et tidspunkt opdagede man, at USB-stikket med de mange oplysninger var blevet væk.
Derefter blev der straks igangsat en meget stor eftersøgning af alle de steder, hvor USB-drevet kunne være bortkommet.
IT-chef: Hændelig fejl
Afsenderen på brevet til de cirka 1.400 modtagere er Brian Slot, der er chef for Digitalisering og IT i Vejle Kommune.
- Jeg vil gerne understrege, at der højst sandsynligt er tale om en hændelig og beklagelig fejl. Vi har ikke grund til at tro, at USB-drevet er blevet stjålet eller at der på anden måde ligger en ondsindet handling bag det skete, siger Brian Slot.
Ifølge Brian Slot var oplysningerne på USB-stikket ikke krypteret.
- Det er det dilemma, der ligger her. Hvis oplysningerne havde været krypteret, så var der ingen, der ville have adgang til det på dén facon. Men det er en af de opdateringer, vi laver fremadrettet at få håndteret det sådan, at der er en stærkere kontrol med det, siger han.
Kommunen har med brevet valgt at orientere de omkring 1.400 borgere i kommunen, der har navne- og adressebeskyttelse, om bruddet på datasikkerheden og bedt dem være ekstra opmærksomme.
De øvrige berørte 91.000 borgere har ingen information fået.
Navne- og adressebeskyttelse i Danmark
CPR-lovens paragraf 28 indebærer, at enhver har ret til ved henvendelse til sin bopælskommune at få navne- og adressebeskyttelse, således at vedkommendes navn og adresse i CPR ikke må videregives til privatpersoner, banker, PostNord m.fl.
Offentlige myndigheder kan dog stadig få adgang til dit navn i CPR-registret, selvom du har navne- og adressebeskyttelse.
Beskyttelsen bortfalder efter et år, medmindre vedkommende ønsker et tidligere bortfald eller kommunalbestyrelsen finder, at helt særlige forhold berettiger til en beskyttelse på længere tid end ét år.
Kilde: CPR.dk og Borger.dk
Opfordrer borgere til opmærksomhed
Når kommunen ikke har set sig nødsaget til at orientere de resterende 91.000 borgere, så er det fordi, der er tale om oplysninger, der i forvejen er lette at få fat i.
- Der er tale om oplysninger, som er let tilgængelige om alle borgere, der ikke har adressebeskyttelse. De 1.400 med beskyttelse af navn og adresse opfordrer vi dog til at være særlig opmærksomme på uventede eller uopfordrede henvendelser, uopfordrede kontakter på sociale medier og andre lignende henvendelser, siger Brian Slot.
Det fremgår ikke af oplysningerne på USB-drevet, hvem af de i alt 92.425 borgere der har navne- og adressebeskyttelse.
Brev
Her er brevet, som Vejle Kommune sendte ud 26. november 2021.
Brud på datasikkerheden i Vejle Kommune
Vi skriver til dig, fordi du har navne- og adressebeskyttelse, og fordi der desværre er sket et brud på datasikkerheden i Vejle Kommune. Vi beklager meget, at denne fejl, som omfatter dig, er sket.
Hvad er der sket
I forbindelse med Kommunal- og Regionsrådsvalget er et USB-drev med en liste over stemmeberettigede borgere i Vejle Kommune desværre bortkommet.
Listen indeholder navn, folkeregisteradresse, fødselsdato og et valgnummer. Listen indeholder ikke cpr-nummer. Det fremgår ikke af listen, at du har navne- og adressebeskyttelse.
Vi vil gerne understrege, at der højst sandsynligt er tale om en hændelig og beklagelig fejl. Vi har ikke grund til at tro, at USB-drevet er blevet stjålet, eller at der på anden måde ligger en ondsindet handling bag det skete.
Vejle Kommunes umiddelbare vurdering af det skete er derfor, at der som udgangspunkt ikke er en forøget risiko for, at uvedkommende får viden om din navne- og adressebeskyttelse ud fra det bortkomne USB-drev.
Da Vejle Kommune ikke kender baggrunden for, at du har ønsket at have navne- og adressebeskyttelse, er det vigtigt for os at sikre, at du er bekendt med det skete, så du kan tage eventuelle nødvendige forholdsregler.
Hvad har Vejle Kommune gjort i sagen
Vejle Kommune opdagede torsdag den 18. november kl. 14.10, at USB-drevet var blevet væk. Der blev straks igangsat en meget stor eftersøgning af alle de steder, hvor USB-drevet kunne være bortkommet. Eftersøgningen fortsatte frem til mandag formiddag, uden at USB-drevet blev fundet.
Vejle Kommune anmeldte det skete til Datatilsynet søndag den 21. november 2021.
På baggrund af hændelsen har vi ændret vores arbejdsgange i forbindelse med kommende valghandlinger, så fejlen ikke kan ske igen.
Hvad skal du være opmærksom på
Vejle Kommune beklager meget det skete, og de gener bortkomsten af USB-drevet måske vil medføre. Vi anbefaler, at du i den kommende tid er særlig opmærksom på uventede eller uopfordrede henvendelser, uopfordrede kontakter på sociale medier og andre lignende henvendelser, som du ikke har bedt om.
Hvis du modtager sådanne henvendelser, og du mener, at det kan have noget med sikkerhedsbruddet at gøre, bedes du henvende dig til politiet. Vejle Kommune vil i givet fald også meget gerne høre fra dig.
Du kan søge råd og vejledning hos Vejle Kommunes databeskyttelsesrådgiver, som du kan ringe til på telefon 7227 3002, og skrive til på dpo.vejle@bechbruun.com. Hvis din henvendelse indeholder fortrolige eller følsomme oplysninger, opfordrer vi til, at du benytter den sikre beskedfunktion på adressen https://dpo.bechbruun.com/vejle.
Du kan desuden klage til Datatilsynet over Vejle Kommunes behandling af dine personoplysninger på adressen www.datatilsynet.dk.
Endelig er du naturligvis velkommen til at kontakte Vejle Kommune på telefon 76 81 10 50, hvis du har spørgsmål til sagen.
Endnu en gang vil vi gerne beklage det skete, og de gener det eventuelt må give dig.
Beklager gener
Vejle Kommunes umiddelbare vurdering af hændelsen er derfor, at der som udgangspunkt ikke er en forøget risiko for, at uvedkommende får viden om konkrete borgeres navne- og adressebeskyttelse ud fra det bortkomne USB-drev.
- Vi beklager meget det skete, og de gener det forsvundne USB-drev måske vil medføre. Vores arbejdsgange ved kommende valghandlinger bliver selvfølgelig ændret, så fejlen ikke kan ske igen, understreger Brian Slot, chef for Digitalisering og IT, Vejle Kommune.
Som udgangspunkt er det altid en alvorlig sag med tab af data om så mange borgere.
Allan Frank, IT-sikkerhedsekspert og jurist i Datatilsynet
Datatilsynet vurderer sagen med alvor
Vejle Kommune anmeldte hændelsen til Datatilsynet søndag den 21. november, hvad tilsynet også bekræfter over for TV SYD.
- Vi skal nu vurdere sagens nærmere omstændigheder. Som udgangspunkt er det altid en alvorlig sag med tab af data om så mange borgere. Nu skal vi helt konkret have klarlagt, hvor let det vil være at få adgang til oplysningerne, hvis man uretmæssigt får fingre i USB-drevet, siger Allan Frank, IT-sikkerhedsekspert og jurist i Datatilsynet.
Datatilsynet sanktionsmuligheder går fra kritik til bøder på flere hundrede tusinde kroner.
