I går blev en 27-årig mand sigtet for at have misbrugt sin stilling som studentermedhjælper i Københavns Kommune til at snage i CPR-registret hele 1.742 gange.
Informationerne sendte han videre til kriminelle i bandemiljøet, og manden er nu sigtet for videregivelse af informationer fra CPR-registret, for medvirken til afpresning samt medvirken til et drabsforsøg ved Herning sidste år.
Og selvom den pågældende sag selvsagt har en høj grad af alvor, er det langt fra første gang, at medarbejdere hos offentlige myndigheder misbruger deres stilling til ulovligt at snage i CPR-registret.
Faktisk er det noget, Datatilsynet oplever hver eneste uge.
Det fortæller Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, til DR.
"At en medarbejder tilgår oplysninger, de egentlig ikke har ret til at se, er relativt almindeligt," siger Allan Frank til mediet.
Typisk er det sager, hvor en person slår informationer op om en ekskæreste – eller det kan være forældre, som slår svigerbørn op i CPR-registret, uddyber Allan Frank til DR Nyheder.
Studentermedhjælpere bør ikke adgang
Derfor burde man lave systemet om, sådan at adgangen til personfølsomme registre begrænses, så det er det konkrete formål og ikke blot ens jobfunktion, der bestemmer, hvornår man kan tilgå eksempelvis CPR-registret.
Det mener både Allan Frank og Thomas Hildebrandt, professor på Datalogisk Institut på Københavns Universitet.
"Det er et generelt problem, at vores it-systemer ikke har adgangskontrol, som er målrettet et formål, men i stedet er målrettet medarbejderens rolle eller ansættelsestype," siger Thomas Hildebrandt til DR.
På den måde kunne studentermedhjælperen i Københavns Kommune aldrig have fået adgang til de CPR-oplysninger, han formodentlig har solgt videre.
Den 27-årige formodede gerningsmand blev i går varetægtsfængslet i fire uger, mens politiet forsøger at finde frem til de kriminelle, som de stjålne personoplysninger angiveligt er endt hos.
Langt fra første gang
Det er langt fra første gang, at en person misbruger sin stilling til at tilgå fortrolige informationer.
I foråret blev en læge med ansættelser i både Region Hovedstaden og Region Sjælland politianmeldt for i årevis at have misbrugt sin adgang til patientdata og brugt regionernes it-systemer som et personligt opslagsværk til at stalke kvinder.
Og i foråret 2024 udspillede en af de største sager om datatyveri sig herhjemme, da en på tidspunktet 34-årig mand blev anholdt for at have misbrugt sin stilling i Udviklings- og Forenklingsstyrelsen til at skaffe sig adgang til en række kildekoder tilhørende Netcompany.
Kildekoder, som han efterfølgende lækkede, hvilket han i januar 2025 blev kendt skyldig i.