Flemming Kjærsdam • 24 februar 2022

It-sikkerhedsspecialist Allan Frank, Datatilsynet: “Kommunerne gør en stor indsats for at leve op til GDPR-reglerne”

Efter Databeskyttelsesforordningen trådte i kraft den 25. maj 2018, har kommunerne gjort et mere systematisk og professionelt arbejde inden for informationssikkerhed. Sådan siger IT-sikkerhedsspecialist og jurist Allan Frank, Datatilsynet, og tilføjer, at ”generelt går det godt og kommunerne gør en stor indsats for at leve op til GDPR-reglerne”.

 

Digitaliseringen buldrer fortsat derudad i 2022, og det er ikke mindst på baggrund af den digitale udvikling og at serviceydelser oftere leveres digitalt, som betyder, at informationssikkerhed og beskyttelse af personoplysninger bliver en stadig mere kompleks disciplin. Når det så tages med i ligningen, at reglerne om persondatabeskyttelse er skærpet efter Databeskyttelsesforordningens ikrafttræden i 2018, står det slet ikke så dårligt til med beskyttelsen af persondata i landets kommuner.

Coronakrisen har yderligere skubbet til trusselsbilledet de seneste to år, hvor overgangen til mere fjernarbejde og hybride arbejdspladser blandt medarbejderne har øget risikoen for, at hackere kan lykkes med deres angreb mod virksomheder, kommuner og myndigheder verden over. Enten ved at bryde ind i computere, it-systemer eller angreb på disse ved at låse data og presse virksomheder for løsepenge. 

”Det store skifte efter at Databeskyttelsesforordningen trådte i kraft i 2018 er, at mange brugere – ikke kun ansatte i kommunerne, men også borgere – ikke længere kun har en enhed, der giver adgang til informationer. Før 2018 – altså før GDPR – lå de fleste følsomme informationer hos en ansat på en enkelt enhed. Men nu bæres informationer rundt mellem enheder, og data leveres og sammenstilles remote på medarbejdernes skærme. Det øger kompleksiteten med informationssikkerhed drastisk for kommunerne, fordi sikkerheden skal understøttes af it og af arbejdsgange og åbningstider døgnet rundt. Set i det lys gør kommunerne det ret godt,” siger IT-sikkerhedsspecialist og jurist Allan Frank, Datatilsynet, som følger forholdene tæt.

GDPR-forordningen fra EU er ofte blevet omtalt som bøvl og bureaukrati. Men faktisk blev forordningen sat i verden med det formål at beskytte borgeres data, så myndigheder ikke optræder uforsvarligt i omgangen med data.

Dertil er beskyttelse af persondata blevet en slags våbenkapløb mellem kriminelle som konsekvent forsøger at hacke sig ind i myndigheders og virksomheders it-systemer med det formål at skade eller afpresse dem.   

Har dette virtuelle våbenkapløb så ført til, at kommuner tager nye teknologier i brug for at beskytte data?   

”Ja, vi ser et stigende fokus på kryptering. Som før nævnt ligger data ikke længere kun et sted. Kommunale medarbejdere har bærbare enheder og smartphones med vigtige oplysninger på. Derfor er det vigtigt, hvis en sagsbehandler tager sager med hjem på en bærbar enhed – en computer, en smartphone eller et USB- stik, og hvis enheden bliver forlagt eller stjålet, at informationerne er krypterede, så den der uautoriseret får fat i enheden, ikke får adgang til data. Krypteringen ser vi som en tendens, og det er en ny standard for informationssikkerhed,” siger Allan Frank.

 

Kommunalvalget 2021

Vi skal dog ikke spole tiden mere end tre måneder baglæns, da et USB-stik med navn, fødselsdato, folkeregisteradresse og valgnummer på samtlige 92.425 stemmeberettigede borgere i Vejle Kommune forsvandt ved kommunalvalget den 16. november 2021. USB-stikket er stadig ikke fundet.

Det skrev TV Syd efter, at Vejle Kommune sendte et brev ud til cirka 1.400 af kommunens borgere, der har navne- og adressebeskyttelse.

Som led i en teknisk back-up kørte en kommunal medarbejder rundt mellem valgstederne, og på denne rundtur forsvandt USB-stikket med de ukrypterede oplysninger.

Allan Frank: “Vi skal nu vurdere sagens nærmere omstændigheder. Som udgangspunkt er det altid en alvorlig sag med tab af data om så mange borgere. Nu skal vi helt konkret have klarlagt, hvor let det vil være at få adgang til oplysningerne, hvis man uretmæssigt får fingre i USB-drevet”.

Der har ligeledes været sager i Hørsholm, Gladsaxe og Favrskov Kommune med manglende kryptering. Alle tre kommuner er indstillet til bøder af Datatilsynet på henholdsvis 50.000 kr. i Hørsholm, 100.000 kr. i Gladsaxe og 75.000 kr. i Favrskov.

“Borgerne kan ikke fravælge kommunens behandling af personoplysninger. Derfor har kommunen som dataansvarlig en særlig forpligtelse til at beskytte borgernes oplysninger, blandt andet ved at beskytte computere og enheder gennem kryptering,” siger Allan Frank.
 

3345 databrud

I efteråret 2021 gennemførte DR en aktindsigt om indberetninger til Datatilsynet. Den viste 3345 brud på datasikkerheden siden coronapandemiens start i marts 2020 til september 2021. Knapt halvdelen af disse tilfælde er mails, som er sendt fra kommunen til en forkert modtager. 

Et eksempel på sådan en mail med forkert modtager stammer fra Guldborgsund Kommune, hvor en enlig mor var gået under jorden med søn og datter. De havde fået nye navne og ny adresse, da de skjulte sig for et familiemedlem, som de havde fået et polititilhold mod.

Men kommunens afdeling for familie og forebyggelse havde sendt brevet til familiemedlemmet med oplysninger om datteren.

Kommunaldirektøren gik bodsgang og beklagede sagen i medierne.

Allan Frank: ”Det sker måske en gang ud af tusinde, men det sker. Og det er, når det går galt, at vi læser om det. Så selv om kommunerne gør et godt, professionelt stykke arbejde, ser vi stadig den slags sager. Men indtil videre har vi kun indstillet til bøder i syv tilfælde. Sager sker i organisationer med mange medarbejdere og mange kontakter til kunder. Vi ser lignende sager i forsikringsselskaber og banker, og der er tale om menneskelige fejl. Og der sker menneskelige fejl – selv i en digital tidsalder.”

Guldborgsund Kommune er indstillet til en bøde på 50.000 kr.

Det er dog værd at bemærke, at disse alvorlige brud på persondataforordningen, er undtagelsen. Ud af de i alt 3345 databrud i landets kommuner, er der som sagt kun syv tilfælde, der er indstillet til bødestraf. Ved særligt alvorlige sikkerhedsbrister kan Datatilsynet politianmelde og indstille til bødestraf.

Vejle Kommune har Datatilsynet indstillet til en bøde på 200.000 kroner.

Det skyldtes, at den kommunale tandpleje, som fast praksis har sendt velkomstbreve til begge forældre og i brevene oplyst adresser på begge forældre. Dermed har tandplejen i flere tilfælde afsløret beskyttede adresser.

Tre kommuner er desuden blevet politianmeldt, efter de har fået stjålet computere. Computerne var ikke krypterede, og følsomme oplysninger om mange tusinde borgere kan derfor være faldet i de forkerte hænder.

“Når vi skrider til politianmeldse med påstand om bøde, skyldes det oftest, at vi ser overtrædelsen som et udtryk for manglende vilje eller for lemfældig omgang med personoplysninger, som har en alvorlig konsekvens for de involverede,” siger Allan Frank.

Lejre Kommune er blevet indstillet til en bøde på 50.000 kr. for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.

Ingen af de syv bøder, som Datatilsynet har politianmeldt, er endnu blevet afgjort af Politiet.

 

Mere test

Når nye it-systemer bliver afleveret fra en leverandør til en kunde, er de så godt som aldrig klar til drift. It-afdelingen eller it-afdelingens eksterne konsulent skal lave en lokal tilpasning til de eksisterende it-systemer, herunder gennemføre passende sikkerhedsforanstaltninger. Det er afgørende at teste for utilsigtede fejl og hændelser, inden it-løsningen går i drift. Det lyder enkelt, men det er det langt fra. Hvis først et system med fejl tages i drift, bliver fejlen gentaget, hvilket kan have store økonomiske og personlige konsekvenser for dem, der bliver ramt.

At sikre data i it-systemer, der bliver forsøgt angrebet udefra, kræver, at organisationen konsekvent gennemfører ændringer i systemer for at beskytte data. Der er ikke som i de tidligere nævnte tilfælde tale om menneskelige fejl. Dette er en del af it-afdelingens eller driftsleverandørens daglige arbejde. Det er i disse store komplekse datacentre med mange brugere og mange kontakter med borgere, at de indbyggede sikkerhedsmekanismer dagligt bliver sat på prøve.

”Test er helt klart et sted kommunerne – og for den sags skyld alle andre – kan blive bedre. Vi skal lære at teste mere, inden vi tager systemer i drift. Man skal ikke gå på kompromis med datasikkerheden, fordi man har travlt i hverdagen. Kommunerne skal afsætte den fornødne tid og penge til at sikre sig, at it-systemerne fungerer rigtigt, når de sættes i drift,” siger Allan Frank.