22 gange på et år er borgeres data lækket fra Nyborg Kommune: Nu forklarer IT-chef

0
622

DR bragte for nylig en artikel om læk af personfølsomme data i kommunerne. I år frem til den 10. oktober har der været 2.014 tilfælde på landsplan. Forskellen mellem de enkelte kommuner er dog stor – Ikke mindst mellem Kerteminde og Nyborg Kommune

Skilt Datatilsynet

Foto: Datatilsynet

Ifølge GDPR-reglerne skal myndigheder, som f.eks. kommuner, altid indberette datalæk til Datatilsynet – “…medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder”, som det er formuleret i databeskyttelsesforordningen.

Der er dog store kommunale forskelle i forhold til, hvor ofte det bliver gjort. Det kan til dels tilskrives, at nogle kommuner er bedre til at undgå fejl end andre, men også at der kan være forskel på, hvordan reglerne bliver tolket – og dermed også, hvornår en fejl er alvorlig nok til at blive indberettet.

I Nyborg kommune, som er den kommune på Fyn med flest registrerede datalæk pr. indbygger, peger Thomas Holst, der er kommunal leder af digitalisering og IT, på, at de i Nyborg Kommune er gode til at opsnappe fejlene og hellere indrapporterer en gang for meget end for lidt.

– Min klare vurdering er, at det skyldes vores grundighed i forhold til indrapportering. Vores medarbejdere, der sidder med personfølsomme data gennemgår en lang række obligatoriske kurser løbende, for at skal være rustet til at undgå fejl, men også opdage og registrere dem, når de sker, for det vil aldrig kunne undgås helt, lyder det fra Thomas Holst.

Så når Kerteminde Kommune kun har to tilfælde af datalæk i forhold til Nyborg 22, er det så fordi de ikke indberetter grundigt nok?

– Jeg skal ikke gøre mig klog på, hvorfor Kertemindes tal er så lavt, og det kan sagtens være, at de bare har været enormt dygtige til at undgå fejl, men når man ser på forskellene i hele landet, så er jeg ikke i tvivl om, at der gemmer sig nogle mørketal rundt omkring, afslutter Thomas Holst.

Han understreger også, at fejlene i Nyborg Kommune ikke har relation til hinanden, og at de fleste af dem skyldes, at medarbejdere i uopmærksomhed har haft brugt ukrypterede e-mail-tjenester til at sende digital post ud til borgerne. Det kan være en privat e-mail, eller at medarbejderen ikke har brugt “sikker post-funktionen”. Andre gange kan de skyldes fejl hos en leverandør af enten menneskelig eller teknisk karaktér.

I Nyborg Kommunes egen oversigt over datalæk mellem maj 2022 og maj 2023 fremgår det, at der i perioden var anmeldt 26 brud til Datatilsynet, men at ingen af dem gav anledning til kritik. Derudover var der 75 “hændelser”, som vedrørte persondatasikkerhed, men som ikke var alvorlige nok til at udløse en indberetning.

I Kerteminde Kommune medgiver ledende IT-konsulent og sikkerhedsansvarlig, Jake Mahs, at der kan være forskel på, hvilke fejl der bliver indberettet fra kommune til kommune.

– Der er lige så mange forskellige kriterier for indberetning af datalæk som der er kommuner. I forhold til eksemplet fra Nyborg, så vil f.eks. digital post sendt fra en privat mail også blive indberettet i Kerteminde Kommune. Jeg tror også at én af årsagerne til, at vi ligger så lavt er, at vi ikke har været involveret i nogle større læk fra leverandører, som mange andre kommuner har. Derudover bliver alle medarbejdere undervist i IT-sikkerhed gennem kurser og e-læringsforløb, så de er klædt godt på til at undgå fejl så vidt muligt.

– Det er også vigtigt at understrege, at alle medarbejdere opfordres til at gøre opmærksom på eventuelle fejl – det bliver der kun set positivt på, da det også er med til at gøre os klogere i forhold til at forebygge dem.

Kun Fanø- og Samsø Kommune har indrapporteret færre datalæk end Kerteminde Kommune med hhv. ét og nul tilfælde.