Silkeborg Kommune har lækket persondata på næsten 13.000 elever på kommunens skoler.
Det skete i begyndelsen af februar i år, hvor kommunen sendte en mail til Danmarks Statistik Consulting med CPR-numre, skolenavn og skolekode på i alt 12.915 skoleelever.
På grund af en menneskelig fejl blev den pågældende mail ikke krypteret.
Ifølge kommunene kom en af kommunens medarbejdere nemlig til at ‘trykke på den forkerte knap,’ som det hedder.
Det betød, at de mange data blev sendt i ukrypteret form og dermed altså ikke sikkert.
Forsømmelsen udløser nu alvorlig kritik og løftet pegefinger fra Datatilsynet.
Tilsynet mener både, at det sikkerhedslag, som kommunen anvender, er for ringe, samt at kommunen har pligt til at sikre, at så store datasæt ikke bliver sendt i åbent format.
Silkeborg Kommune anvendte på tidspunktet, hvor mailen blev sendt, kryptering af transportlaget med TLS 1.1.
Og det er ikke godt nok hverken alene at kryptere transportlaget eller at anvende TLS 1.1, som Datatilsynet mener “på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget.”
Hertil kommer, at tilsynet mener, at en kommune skal have rutiner, der sikrer mod fejl af denne type.
“Denne forpligtelse gælder særligt, når der behandles store mængder af fortrolige og/eller følsomme personoplysninger og når personoplysningerne vedrører børn, der nyder en særlig beskyttelse i databeskyttelsesforordningen,” lyder det fra tilsynet.
Du kan læse hele afgørelsen fra Datatilsynet her.
