Brud på persondatasikkerheden

I forbindelse med en intern gennemgang af sikkerheden i Herlev Kommune, er vi blevet opmærksomme på et brud på persondatasikkerheden.

Herlev Kommune arbejder aktivt på at passe på borgernes data og iværksætter derfor løbende tiltag, som skal forbedre datasikkerheden. En nylig gennemgang af sikkerheden viste desværre, at der har været et sikkerhedsbrud i perioden fra januar 2019 til december 2021. Sikkerhedsbruddet er sket i forbindelse med udfyldning af oplysningsskemaer via ”Mit Sygefravær”, hvor oplysningerne er blevet videresendt med for lavt sikkerhedsniveau.

Herlev Kommune har automatisk videresendt oplysningsskemaer fra ”Mit Sygefravær” til revisionsfirmaet BDO i forbindelse med behandling af sager om sygedagpenge. Revisionsfirmaet gennemgår derefter oplysningerne med henblik på refusion fra en eventuel arbejdsgiver. Kommunen har en kontrakt og databehandleraftale med revisionsfirmaet, som derfor behandler personoplysninger fortroligt, men selve forsendelsen er sket med almindelig mail.

De almindelige mailforsendelser fra Herlev Kommune har været krypteret med såkaldt TLS 1.2, hvilket kan betragtes som et minimumsniveau. I oplysningsskemaer fra ”Mit Sygefravær” indgår cpr.nr og helbredsoplysninger, som er klassificeret som følsomme og fortrolige oplysninger. Sådanne oplysninger må ifølge kommunens retningslinjer og reglerne for behandling af personoplysninger kun sendes med et højere sikkerhedsniveau. Da Herlev Kommune blev bekendt med sikkerhedsbruddet, blev praksis omgående ændret.

Hvis følsomme og fortrolige oplysninger kommer i hænderne på uvedkommende personer, er det et brud på fortroligheden og kan i værste fald medføre identitetstyveri eller anden forsøg på misbrug af personlige oplysninger. Vi har ikke nogen viden eller mistanke om, at forsendelserne er blevet opsnappet af uvedkommende eller på anden måde kompromitteret. Men da det ikke kan udelukkes, har vi givet så mange borgere som muligt direkte besked og anmeldt sikkerhedsbruddet til Datatilsynet.

Spørgsmål

Har du spørgsmål til sikkerhedsbruddet, er du velkommen til at kontakte teamleder Peter Schultz via mail Peter.Aagaard.Schultz@herlev.dk