Kommuner slog alarm: Ulovlig adgang til millioner af borgeres data

Datatilsynet uddeler nu kritik i to sager, som har det til fælles, at en række kommuner havde ulovlig adgang til data.

I den ene sag modtog tilsynet i perioden december 2018 - februar 2019 en række anmeldelser fra kommuner om Fælleskommunalt Ledelsesinformationssystem (FLIS), som drives af Kombit.

I en periode på godt fire måneder kunne udvalgte medarbejdere i 84 kommuner uretmæssigt tilgå personnumre og oplysninger om fx dagpenge og kontanthjælp om op mod 4,2 millioner borgere.

Det skyldtes, at Kombits underdatabehandler Netcompany ved levering af data ved en fejl fik udeladt et filter, der skulle begrænse de enkelte kommuners adgang, så de kun kunne se data om egne borgere.

Fejlen blev opdaget af KMD, der for en kommune undersøgte systemets ydeevne.

Datatilsynet udtaler alvorlig kritik af Kombit i sagen.

Sikkerhed deaktiveret

I den anden sag modtog tilsynet i oktober 2019 anmeldelser fra en række kommuner om Schultz Expose, der driftes af J.H. Schultz Information og leverer ledelsesinformation til jobcentre.

Under en opdatering af systemet deaktiverede man midlertidigt en sikkerhedskomponent, der skulle sikre, at brugere kun  kunne se de relevante oplysninger. Da opdateringen ikke gik som forventet, blev sikkerhedskomponenten ikke genaktiveret.

Som følge af fejlen har det været muligt for udvalgte medarbejdere i kommunerne uretmæssigt at tilgå beskæftigelsesrelaterede oplysninger om ca. 1,5 millioner borgere fra andre kommuner.

Fejlen blev opdaget af Syddjurs en sen eftermiddag, hvorpå systemet blev lukket ned og fejlen udbedret inden næste formiddag.

Datatilsynet udtaler kritik af Schultz.

Kritik af Odense

I en tredje sag fra Odense opdagede kommunen i maj i år et problem med et system, som var sat i drift et år forinden. Systemet gør det muligt at søge om tillæg og ydelser på en andens vegne, fx når en sundhedsfaglig person ansøger på vegne af en patient.

Systemet var opsat, så når en person søgte på en borgers vegne og brugte sit personlige NemID, blev personens navn, adresse og personnummer sendt i en kvittering til borgeren via Digital Post.

Datatilsynet udtaler kritik af kommunen og giver samtidig påbud om at undersøge, om der uretmæssigt er videregivet oplysninger om beskyttede adresser. Hvis der er, skal de berørte orienteres og modtagerne opfordres til at slette dem.

Husk kontrollen

På baggrund af de tre sager understreger tilsynet, at det er vigtigt at kontrollere it-systemer regelmæssigt, og at det navnlig er vigtigt, før det sættes i drift første gang, og hver gang der laves opdateringer.