Artikel top billede

Datatilsynet revser offentligt it-system: Skolelevers CPR-numre lå frit tilgængelige

Datatilsynet retter kritik mod et offentligt it-system til erhvervsskoler. Elevers CPR-numre lå frit tilgængelige i et åbent system.

Sikkerheden i det offentlige it-system Easy-P, der bruges til erhvervsskoler, er så dårlig, at det er i strid med persondataloven.

Det konkluderer Datatilsynet i en ny afgørelse.

Easy-P bruges til at håndtere praktikperioder på erhvervsskoler, og helt tilbage i august 2015 modtog
Datatilsynet den første klage over systemets håndtering af personfølsomme oplysninger.

Klagen gik blandt andet på, at elevernes CPR-numre lå frit tilgængelige i systemet, som man kunne få adgang til blot ved at logge på erhvervsskolens åbne netværk.

Derudover har det været muligt at skaffe sig adgang til de fleste funktioner i systemet blot ved at slette ordet "secure" fra adressestien.

Herefter var der blandt andet adgang til funktionen "CPR-søgning", som i sig selv kritiseres af Datatilsynet, fordi søge-resultaterne ikke kun omfattede erhvervsskoleleverne.

Styrelse skal stramme op

Det har taget Datatilsynet halvandet års tid at behandle sagen, men nu lyder den endelige konklusion altså, at Styrelsen for IT og Læring, STIL, der har udviklet systemet, har gjort det i strid med persondataloven.

Tilsynet lægger følgende punkter til grund for afgørelsen:

• at det har været muligt at tilgå oplysninger om personnumre på en side i EASY-P benævnt "Værktøjssiden", blot man havde adgang fra K's uddannelsesinstitutions åbne trådløse netværk - dette kan bl.a. tilgås udenfor skolen på kommunale stier,

• at det endvidere var muligt at tilgå størstedelen af
funktionaliteten i EASY-P blot ved at fjerne "secure" fra adressestien på en side for brugergodkendelse, hvorefter der var adgang til systemet,

• at der bl.a. indgik et menupunkt benævnt "CPR-Søgning", som tillod indtastning af et givent personnummer, hvorefter man som svar fik personens navn, samt

• at CPR-søgningen ikke var begrænset til elever på erhvervsskoler.

Styrelsen for IT og Læring skal senest 19.maj svare Datatilsynet på, hvordan man har styrket sikkerheden i EASY-P-systemet.

Systemet bliver i øvrigt lukket ned fra sommeren 2018.

Læs også: Sådan blev 900.000 CPR-numre blottet på nettet




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere