Datatilsynet revser offentligt it-system: Skolelevers CPR-numre lå frit tilgængelige

Datatilsynet retter kritik mod et offentligt it-system til erhvervsskoler. Elevers CPR-numre lå frit tilgængelige i et åbent system.

Artikel top billede

(Foto: Maksim Kabakou / Maksim Kabakou)

Sikkerheden i det offentlige it-system Easy-P, der bruges til erhvervsskoler, er så dårlig, at det er i strid med persondataloven.

Det konkluderer Datatilsynet i en ny afgørelse.

Easy-P bruges til at håndtere praktikperioder på erhvervsskoler, og helt tilbage i august 2015 modtog
Datatilsynet den første klage over systemets håndtering af personfølsomme oplysninger.

Klagen gik blandt andet på, at elevernes CPR-numre lå frit tilgængelige i systemet, som man kunne få adgang til blot ved at logge på erhvervsskolens åbne netværk.

Derudover har det været muligt at skaffe sig adgang til de fleste funktioner i systemet blot ved at slette ordet "secure" fra adressestien.

Herefter var der blandt andet adgang til funktionen "CPR-søgning", som i sig selv kritiseres af Datatilsynet, fordi søge-resultaterne ikke kun omfattede erhvervsskoleleverne.

Styrelse skal stramme op

Det har taget Datatilsynet halvandet års tid at behandle sagen, men nu lyder den endelige konklusion altså, at Styrelsen for IT og Læring, STIL, der har udviklet systemet, har gjort det i strid med persondataloven.

Tilsynet lægger følgende punkter til grund for afgørelsen:

• at det har været muligt at tilgå oplysninger om personnumre på en side i EASY-P benævnt "Værktøjssiden", blot man havde adgang fra K's uddannelsesinstitutions åbne trådløse netværk - dette kan bl.a. tilgås udenfor skolen på kommunale stier,

• at det endvidere var muligt at tilgå størstedelen af
funktionaliteten i EASY-P blot ved at fjerne "secure" fra adressestien på en side for brugergodkendelse, hvorefter der var adgang til systemet,

• at der bl.a. indgik et menupunkt benævnt "CPR-Søgning", som tillod indtastning af et givent personnummer, hvorefter man som svar fik personens navn, samt

• at CPR-søgningen ikke var begrænset til elever på erhvervsskoler.

Styrelsen for IT og Læring skal senest 19.maj svare Datatilsynet på, hvordan man har styrket sikkerheden i EASY-P-systemet.

Systemet bliver i øvrigt lukket ned fra sommeren 2018.

Læs også: Sådan blev 900.000 CPR-numre blottet på nettet

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    SAP Bruger- og rolleadministrator ved Forsvarsministeriets Regnskabsstyrelse

    Nordjylland

    Netcompany A/S

    Microsoft Operations Engineer

    Københavnsområdet

    Semler IT

    Power Platform Specialist til Semler IT

    Københavnsområdet

    Forsvarets Efterretningstjeneste

    Private Cloud Engineers – din ekspertise styrker Danmarks sikkerhed

    Københavnsområdet

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S