Datatilsynet revser offentligt it-system: Skolelevers CPR-numre lå frit tilgængelige

Datatilsynet retter kritik mod et offentligt it-system til erhvervsskoler. Elevers CPR-numre lå frit tilgængelige i et åbent system.

Artikel top billede

(Foto: Maksim Kabakou / Maksim Kabakou)

Sikkerheden i det offentlige it-system Easy-P, der bruges til erhvervsskoler, er så dårlig, at det er i strid med persondataloven.

Det konkluderer Datatilsynet i en ny afgørelse.

Easy-P bruges til at håndtere praktikperioder på erhvervsskoler, og helt tilbage i august 2015 modtog
Datatilsynet den første klage over systemets håndtering af personfølsomme oplysninger.

Klagen gik blandt andet på, at elevernes CPR-numre lå frit tilgængelige i systemet, som man kunne få adgang til blot ved at logge på erhvervsskolens åbne netværk.

Derudover har det været muligt at skaffe sig adgang til de fleste funktioner i systemet blot ved at slette ordet "secure" fra adressestien.

Herefter var der blandt andet adgang til funktionen "CPR-søgning", som i sig selv kritiseres af Datatilsynet, fordi søge-resultaterne ikke kun omfattede erhvervsskoleleverne.

Styrelse skal stramme op

Det har taget Datatilsynet halvandet års tid at behandle sagen, men nu lyder den endelige konklusion altså, at Styrelsen for IT og Læring, STIL, der har udviklet systemet, har gjort det i strid med persondataloven.

Tilsynet lægger følgende punkter til grund for afgørelsen:

• at det har været muligt at tilgå oplysninger om personnumre på en side i EASY-P benævnt "Værktøjssiden", blot man havde adgang fra K's uddannelsesinstitutions åbne trådløse netværk - dette kan bl.a. tilgås udenfor skolen på kommunale stier,

• at det endvidere var muligt at tilgå størstedelen af
funktionaliteten i EASY-P blot ved at fjerne "secure" fra adressestien på en side for brugergodkendelse, hvorefter der var adgang til systemet,

• at der bl.a. indgik et menupunkt benævnt "CPR-Søgning", som tillod indtastning af et givent personnummer, hvorefter man som svar fik personens navn, samt

• at CPR-søgningen ikke var begrænset til elever på erhvervsskoler.

Styrelsen for IT og Læring skal senest 19.maj svare Datatilsynet på, hvordan man har styrket sikkerheden i EASY-P-systemet.

Systemet bliver i øvrigt lukket ned fra sommeren 2018.

Læs også: Sådan blev 900.000 CPR-numre blottet på nettet

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen