Kalundborg om sikkerhedsbrist: Ringe risiko for fortrolighedsbrud

KALUNDBORG: En data-sikkerhedsbrist i Kalundborg Kommune, der blev opdaget i december, har indebåret en 'så godt som ikke eksisterende' risiko for at personlige eller fortrolige oplysninger er faldet i hænderne på uvedkommende, konkluderer kommunen selv. Det sker ifølge kommunaldirektør Jan Lysgaard Thomsen efter 'en grundig undersøgelse' udført med hjælp fra eksterne konsulenter fra Deloitte.

Sagen opstod, da en journalist fra Dagbladet Børsen gjorde Kalundborg Kommune opmærksom på, at han, i forbindelse med at han 14 dage tidligere var blevet tildelt adgang til en mappe på kommunens FTP-server, havde opdaget, at han også kunne bevæge sig rundt i andre mapper på serveren.

- Det er en klar fejl i vores håndtering af data, og det må ikke ske. Vi slukkede straks for serveren, der ikke har været tilgængelig siden Børsens henvendelse den 12. december, siger Jan Lysgaard Thomsen.

I sine undersøgelser har Kalundborg Kommune fået slået fast, at siden maj 2017 har i alt 17 personer - foruden Børsens journalist og en konsulent, hyret af kommunen - fået tildelt en adgang til FTP-serveren. Det er desuden gennem tekniske logs fra FTP-serveren konstateret, at ingen andre end Børsens journalist har tilgået mappen i 14 dage op til 12. december, da serveren blev slukket.

Hvem, der har været inde på serveren, kan kun kortlægges 14 dage tilbage i tiden. De 17 personer, der har haft adgang til serveren, er derfor blevet bedt om tro- og loveerklæringer, hvor de skriver under på, at de kun har brugt adgangen til sig selv og kun til det aftalte formål.

Kommunen har orienteret 17 virksomheder og én person om, at fortrolige oplysninger om deres virksomheder i et halvt år har været tilgængelige på FTP-serveren. På samme måde er ca. 5.000 medarbejdere og 2.100 borgere kontaktet via digital post, fordi fortrolige oplysninger om dem i en måned har ligget tilgængeligt for de 17 med adgang til FTP-serveren.

Læs eller download Kaludborg Kommunes redegørelse til Datatilsynet.