Tirsdag den 6. februar kl. 10:39 dumpede der ud af den blå luft 751 cpr-numre, tilhørende navne og gps-koordinater ind i min indbakke.

De personfølsomme oplysninger havde jeg hverken erhvervet på ulovlig vis på den mørke side af internettet eller anmodet nogen om.

Informationerne var derimod tilflydt mig fra Assens Kommune, der via sin hovedpostkasse havde videresendt to Excel-filer med personfølsomme oplysninger i en ikke-krypteret mail til mig - og til to medarbejdere i Assens Kommune.

- Det er en beklagelig, menneskelig fejl, der gør, at mailen bliver sendt til dig og ikke til din navnebror i vores kommune, Jens-Henrik Ebbesen (økonomichef i Assens, red.), lyder forklaringen fra Lene Wilhøft, sekretariatschef for byrådssekretariatet.

De pågældende oplysninger stammede fra en lang række borgere, som kommunen havde visiteret til kørsel med leverandøren Fynbus. Ifølge afsendelses- og modtagelses-informationerne fra mailen ankom de 751 borgeres persondata fra leverandøren til hovedpostkassen i Assens Kommune, hvorfra den fejlagtigt blev videresendt til uvedkommende, nemlig mig.

Hos Datatilsynet og It-politisk forening er meldingen klar: den uheldige mailudsendelse betyder, at Assens Kommune har overtrådt sikkerhedsbestemmelserne i persondataloven.

”En beklagelig fejl”

I Assens ærgrer sekretariatschefen sig over fejludsendelsen.

- Det er jo beklageligt, men den bliver sendt præcist til dig - og kun til dig - og ikke bredt videre ud. Vi har selvfølgelig en medarbejder, som har trykket på knappen, og som er meget ulykkelig og ked af den situation. Det er en menneskelig fejl, som vi kun kan beklage, siger Lene Wilhøft og fortsætter:

- Der sker det, som du nok kender fra dit eget mailprogram, at når du begynder at skrive et navn i til-feltet, så kommer der forslag frem, hvor der alt andet lige må have været korrespondance med dig på et tidspunkt, og det er den beklagelige fejl, der sker.

Ifølge Datatilsynet er persondatalovgivningen dog ligeglad med menneskelige fejl.

- Det kan godt være, at de siger, at det er en menneskelig fejl, at vi kom til at sende den forkert, men ikke desto mindre vil det være en overtrædelse af persondatalovens regler om behandlingssikkerhed, forklarer Jesper Husmer Vang, kontorchef og leder af tilsynsenheden hos Datatilsynet.

Fejlafsendelsen medførte samtidig, at de personfølsomme oplysninger blev afsendt på ikke-krypteret vis internettet. Den praksis kritiseres ligeledes af Datatilsynet. 

- Hvis man sender personnumre over nettet, så skal man også sikre sig, at det sker krypteret, når man er en offentlig myndighed, siger Jesper Husmer Vang.

Samme besked lyder fra interesseorganisationen It-politisk forening, der blandt andet har som erklæret mål at beskytte borgernes privatliv og rettigheder i informationssamfundet.

- Det er dårlig praksis og en forkert måde at håndtere personfølsomme oplysninger på, ligesom det også en overtrædelse af persondatalovens bestemmelser, og formentlig vil det betragtes som værende en overtrædelse af sikkerhedsbestemmelserne, at en kommune fremsender oplysningerne ukrypteret, siger Jesper Lund, formand for It-politisk forening.

Sikkerhedsreglerne blev overtrådt

Ifølge Datatilsynet er det persondatalovens § 41 stk.3, der bliver brudt, når kommunen giver personfølsomme oplysninger til uvedkommende.

- Myndigheden eller virksomheden skal sikre sig, at personoplysninger ikke kommer til uvedkommendes kendskab, så det vil være en overtrædelse af persondatalovens regler om behandlingssikkerhed, at man kommer til at gøre det her, også selvom det skyldes en menneskelig fejl, siger Jesper Husmer Vang.

På trods af lovbrud er det ikke ligefrem lutter overraskelse, der strømmer gennem chefen i Datatilsynet.

- Det kommer ikke som et chok for mig, for vi ser det desværre ofte. Et af budskaberne i den her type sager er, at man skal sørge for at uddanne sine medarbejdere ordentligt, for du kan ikke gardere dig mod det her typisk, fortæller han.

Det er da heller ikke første gang, at Datatilsynet har givet kritik af databehandling hos netop Assens Kommune. I 2016 fandt Datatilsynet det ”meget beklageligt”, at Assens Kommune ikke efterlevede persondataloven. Blandt andet fik Assens kritik på grund af mangelfuld ”efterlevelse af persondataloven i forhold til behandling af såvel almindelige som følsomme personoplysninger” fremgår det af Datatilsynets offentliggjorte udtalelse.

Borgerne informeres - måske

For nuværende er de 751 borgere i Assens ikke klar over, at deres personnumre er blevet udsendt til uvedkommende.

- Vi vil normalt bede myndigheden om at overveje, om der skal ske underretning af de registrerede. Det kan f.eks. være tilfældet, hvis der vurderes at være en risiko for, at de berørte borgere kan blive udsat for identitetstyveri eller lignende som følge af det passerede. Men det vil være en vurdering, som myndigheden selv skal foretage, siger Jesper Husmer Vang fra Datatilsynet.

Assens Kommune ved dog endnu ikke, om borgerne overhovedet skal have kendskab til sagen.

”Vi er ikke færdige med sagen endnu, og vi overvejer stadig, om de skal informeres,” siger Lene Wilhøft.

For nuværende har Assens Kommune ingen indberetningspligt, der tvinger dem til at fortælle Datatilsynet om lækket. Men med den nye persondataforordning, der træder i kraft den 25. maj, er kommunen dog tvunget til at indberette lignende sager i fremtiden. 

- Vi indberetter faktisk til Datatilsynet allerede i dag, når vi har en sikkerhedsbrist. Det har vi gjort i ca. et års tid. For vi kender jo også godt forordningen, og den er vi begyndt at kigge ind i, så vi orienterer faktisk Datatilsynet, siger Lene Wilhøft.

Efter kommunen.dk’s henvendelse har Assens Kommune bedt om at få bekræftet, at jeg har slettet alle de personfølsomme oplysninger, som jeg fik tilsendt. Det har jeg selvfølgelig gjort.