Datatilsynet afviser at behandle en sag om databrud, hvor en mor ved en fejl modtog navne og cpr-numre på 17 børn. Gladsaxe tager datasikkerhed meget alvorligt og ligger lavt på databrud. Men store investeringer kan ikke forhindre menneskelige fejl, siger kommunen.
En medarbejder i Gladsaxe Kommune kom tirsdag den 25. august ved en fejl til at sende en liste med navne og cpr-numre på 17 børn, som var indskrevet i familiebehandling i kommunens tilbud Villaen, til en mor, som havde søgt aktindsigt. Moren, som ved en fejl havde modtaget listen, valgte at offentliggøre nogle af navnene på en lokal Facebookside, hvorved fejlen blev opdaget.
Datatilsynet afviser sagen
Sagen blev omgående anmeldt til Datatilsynet efter at fejlen blev opdaget, og Gladsaxe Kommune har orienteret forældrene om, hvad der var sket. Datatilsynet har imidlertid afvist at behandle sagen, da man ikke vurderer, at sagen er tilstrækkelig alvorlig til, at man vil bruge ressourcer på den.
Alligevel beklager Gladsaxes kommunaldirektør Bo Rasmussen hændelsen.
- Vi ville helst helt undgå databrud, hvis det overhovedet kunne lade sig gøre. Derfor er jeg også utrolig ked af, at det her er sket, og jeg kan godt forstå, hvis borgerne siger: Nu igen.
Men jeg kan godt garantere, at vi tager datasikkerhed meget alvorligt og at vi gør rigtig meget for at passe på borgernes personlige oplysninger, siger Gladsaxes kommunaldirektør Bo Rasmussen.
Gladsaxe ligger lavt på databrud
Datatilsynet har regler for, hvilke databrud, der skal indberettes og fik i 2019 2379 anmeldelser om databrud fra kommunerne. En kommune af Gladsaxes størrelse svarer det til 28 indberetninger. Men Gladsaxe har kun haft 19 databrud, som havde en karakter, så de skulle indberettes til Datatilsynet, hvilket er en del under, hvad man kunne forvente. I Gladsaxe Kommune bliver alle databrud registreret, også dem, som ikke skal anmeldes til datatilsynet. Listen ligger offentlig tilgængelig på kommunens hjemmeside.
-Vi er åbne om de fejl, vi begår og ønsker at lære af dem. Derfor har vi også, som den eneste kommune i Danmark, lagt listen over vores hændelser åbent frem på vores hjemmesiden, så både borgere og journalister kan kigge os i kortene. Så måske er det derfor, at vi oftere kommer i mediernes søgelys, selvom vi har langt færre databrud, end hvad man kan forvente af en kommune af vores størrelse, siger Bo Rasmussen.
Sikkerhedsinvesteringer for 40 millioner
Gladsaxe Kommune har brugt mere end 10 millioner kroner på at styrke sikkerheden, siden GDPR-forordningen trådte i kraft i 2018 og organisationen kort efter fik stjålet en computer med oplysninger om et stort antal borgere. Og kommunen forventer at bruge yderligere godt 30 mio. kr. frem mod 2024. Pengene skal bruges til at styrke datasikkerheden generelt i kommunen og til IT-tekniske sikkerhedsløsninger, der kan bidrage til at undgå databrud.
Efter tyveriet fik Gladsaxe Kommune eksterne sikkerhedskonsulenter fra PwC til at gennemgå datasikkerheden i organisation og et enigt Byråd besluttede at følge alle PwC’s anbefalinger. Der er blandt andet oprettet et centralt GDPR-team og sikkerhedsorganisation er blevet udvidet med flere medarbejdere og sikkerhedsansvarlige i samtlige forvaltninger. Ledere og medarbejdere bliver nu uddannet i sikker håndtering af data og alle kommunens ca. 350 systemer får fremover en årlig sikkerhedsgennemgang.
Mennesker begår fejl
- Vi har knapt 70.000 borgere og 7.000 medarbejdere i Gladsaxe Kommune, hvoraf langt de fleste arbejder med følsomme eller fortrolige oplysninger hver eneste dag i vores ca. 350 systemer. Udfordringen er, at uanset hvor meget, vi gør, så er vores medarbejdere mennesker, og mennesker begår fejl. Derfor kan vi heller ikke garantere, at der ikke bliver begået fejl fremover. Men vi arbejder systematisk for at udvikle vores systemer, så de kan hjælpe medarbejderne til ikke at kunne begå fejl, siger Bo Rasmussen.
Gladsaxe Kommune er i tæt kontakt med systemudbyderen for at finde ud af præcist, hvad der er sket og om der er noget, der kan gøres teknisk, så systemet sikrer, at den type fejl ikke sker igen.