Datatilsynet udtaler alvorlig kritik af Silkeborg Kommunes håndtering af knap 13.000 elevers cpr-numre.

Alvorlig kritik fra Datatilsynet: Silkeborg Kommune beskyttede ikke 13.000 elevers cpr-numre

En medarbejder "trykkede på en forkert knap", og så blev en e-mail med elevers cpr-numre sendt uden kryptering. Men selv hvis krypteringen var slået til, havde det ikke været nok, da kommunens system er forældet, vurderer Datatilsynet.

Offentliggjort

Bemærk

Denne artikel er flyttet fra en tidligere version af folkeskolen.dk, og det kan medføre nogle mangler i bl.a. layout, billeder og billedbeskæring, ligesom det desværre ikke har været teknisk muligt at overføre eventuelle kommentarer under artiklen.

Den 3. februar kom Silkeborg Kommune ved en fejl til at sende en e-mail med en vedhæftet fil med personlige oplysninger på tusindvis af elever uden den nødvendige kryptering.

Det fremgår af en afgørelse fra Datatilsynet, der udtaler alvorlig kritik af kommunen.

E-mailen blev sendt fra kommunen til Danmarks Statistik, og den indeholdte CPR-nummer, skolenavn og skolekode for 12.915 skoleelever.

Alvorlig kritik af Helsingør Kommune i Chromebook-sag

"Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Silkeborg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne", lyder det i afgørelsen.

Kommunen anmeldelte selv sagen til tilsynet samme dag som hændelsen.

Trykkede på forkert knap

Af kommunens redegørelse fremgår, at e-mailen ved en menneskelig fejl var blevet sendt uden kryptering, da "en medarbejder - der kendte til retningslinjerne for at sende e-mails sikkert - kom til at sende e-mailen usikkert ved at trykke på den forkerte knap".

Men selv hvis medarbejderen havde trykket på den rigtige knap, havde elevernes personlige oplysninger ikke nødvendigvis været beskyttet godt nok, vurderer Datatilsynet.

Kommunen benyttede nemlig version 1.1 af kryptering på det såkaldte transportlag (TLS - Transport Layer Security), som sikrer krypteringen, når oplysninger sendes via intra- eller internet.

Allerede i 2018 ændrede Datatilsynet sine anbefalinger til minimum at bruge version 1.2.

Datatilsynet: Ulovligt at oplyse forældre om lærers knæoperation

Det er "tilsynets opfattelse, at TLS 1.1 - som på tidspunktet var implementeret i Silkeborg kommune - på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget", lyder det i afgørelsen.

Kommunen: Systemet er opdateret

Endelig pointerer Datatilsynet, at kommuner bør sikre sig, at store datasæt sendes på en måde, hvor oplysingerne i det hele taget ikke er læsbare, hvis e-mailen sendes til tredjemand ved en fejl.

Det vil sige, at man for eksempel udover kryptering på transportlaget bruger såkaldt end-to-end-kryptering.

Her har både afsender og modtager en nøgle, som kun de kender, og mailen kan kun læses med denne nøgle.

Sendes mailen til en forkert person, eller får en hacker adgang til den, kan de derfor kun læse med, hvis de også har en af nøglerne.

"Denne forpligtelse gælder særligt, når personoplysningerne vedrører børn, der nyder en særlig beskyttelse i databeskyttelsesforordningen", lyder det i afgørelsen.

Ingen grænser for deling af elevdata

Skolechef i Silkeborg Kommune Thomas Born Smidt forklarer, at episoden har givet anledning til at gennemgå retningslinjerne igen.

"Når man laver en fejl, skal vi sikre os, at vi får noget læring ud af det", siger han til TV2 Østjylland.

Ifølge skolechefen indførte kommunen fra august 2021 den mere sikre TLS 1.2-kryptering på alle e-mail.

"Derfor kan fejlen i princippet ikke ske igen", siger han.

Kommunen ønsker dog ikke over for TV2 Østjylland at forholde sig til, at Datatilsynet i sin afgørelse slår fast, at det ikke er nok alene at kryptere på transportlaget.

Læs mere

Læs hele Datatilsynets afgørelse her