Ekspert er ikke i tvivl om, at Randers Kommune ikke har overholdt lovgivning i sag, hvor 15 personers cpr-numre har været offentligt tilgængelige på en udvalgsdagsorden. To af de personer, hvis cpr-numre har ligget frit fremme, føler sig meget utrygge ved situationen. Kommunen beklager og vil gøre, hvad de kan, for det ikke skal gentage sig.

AF CECILIE BISGAARD

Den 30. marts skulle Socialudvalget i Randers Kommune behandle 47 ansøgninger om økonomisk støtte til frivillige sociale foreninger. De ansøgninger kan man finde via kommunens hjemmeside, da de alle blev vedhæftet udvalgsdagsordenen som bilag. Og i 15 af de 47 ansøgninger, står ansøgerens cpr-nummer. Frit tilgængeligt. Enhver kunne gå ind og se dem.

Ingen vidste tilsyneladende, at de lå der. Hverken de personer, som havde sendt ansøgningerne eller kommunen selv. Da Din Avis gjorde flere af de frivillige og kommunens medarbejdere opmærksomme på det, havde ingen hørt om sagen før.

»Det var jeg slet ikke klar over. Jeg har det virkelig ikke godt med det. Overhovedet. Jeg har ikke hørt noget, og ingen har sagt noget,« siger en 45-årig kvinde til Din Avis.

Hun er en af de personer, hvis cpr-nummer har været frit tilgængeligt. For at beskytte hende og en anden kvinde har vi valgt at gøre dem anonyme i denne artikel.

»Jeg har ikke mærket noget til det, men det er da træls. Jeg kampsveder lige nu. Jeg føler mig blottet fuldstændig. Tænk hvis det falder i de forkerte hænder. Mine tanker kører rundt,« siger hun.

Hun havde søgt om midlerne på vegne af et aktivitetsudvalg på et plejehjem.

»Udvalget består mest af ældre, og derfor hjalp jeg dem. Hvis det havde været dem, så ville de være blevet afskrækket af det. De ville aldrig søge igen. Med mindre kommunen skærper sikkerheden, så vil jeg heller ikke søge igen. Jeg regnede da ikke med, at det ville blive offentligt tilgængeligt,« siger den 45-årige kvinde og fortsætter:

»Jeg håber, kommunen lærer noget af det. Jeg er bare taknemmelig for, at nogen har opdaget det, så det ikke er de forkerte hænder, der har fået fat i det.«

Vil ikke søge en anden gang

En anden af ansøgerne er en 72-årig kvinde, der sendte ansøgningen for den forening, som hun er formand for.

»Der har aldrig været problemer de andre år, og jeg vil gerne have det slettet. Det er det eneste, jeg tænker. Det er dårligt, at kommunen har gjort det – og det er ligegyldigt, om det er en fejl. Jeg synes ikke, det er særligt rart. Det skal væk, så folk ikke kan se det. Jeg troede ikke, kommunen kunne klokke sådan i det,« siger hun.

Vil du søge midlerne en anden gang?

»Nej. Jeg er ikke tryg ved at skulle søge igen. Det er ikke trygt, at jeg ikke kunne afslutte min ansøgning uden at skrive mit cpr-nummer. Det er dybt godnat. De burde få en næse,« siger den 72-årige kvinde og fortsætter:

»Det er bare ikke godt nok. De skulle meldes til Datatilsynet.«

Overtrædelse af to lovgivninger

Tanja Kammersgaard Christensen er adjunkt ved Aalborg Universitets juridiske institut. Hun er også tilknyttet samme universitets ”Research Group on Global and Transnational Law” (tidligere Center for Cyberkriminalitet og Cybersikkerhed), og hun er ikke i tvivl om, at Randers Kommune i denne cpr-sag har overtrådt den gældende lovgivning på området.

Hun skriver følgende i en e-mail til Din Avis:

”Det kræver et behandlingsgrundlag at behandle personoplysninger. I Danmark har vi med databeskyttelsesloven bestemt, at behandling af personnumre kræver et særligt hjemmelsgrundlag, og at offentlige myndigheder derfor kun kan behandle personoplysninger til særlige formål, herunder med henblik på en entydig identifikation eller som journalnummer. Det følger endvidere af cpr-loven, at offentlige myndigheder skal sikre, at cpr-numre ikke kommer uvedkommende i hænde, og at personnummer ikke må offentliggøres.

Der er således ingen tvivl om, at Randers Kommune ikke har opfyldt hverken databeskyttelsesloven eller cpr-loven ved at offentliggøre cpr-numre på deres hjemmeside.”

Lignende cpr-sag: Vejen Kommune fik kritik af Datatilsynet

Den 19. juni 2020 offentliggjorde Vejen Kommune et høringssvar til en sag på deres hjemmeside. I det høringssvar fremgik en borgers cpr-nummer.
Dokumentet med cpr-nummeret var offentligt tilgængeligt på den kommunale hjemmeside i tre døgn, før det blev slettet.
Da borgeren via mail blev orienteret om sagen, valgte hun at klage til Datatilsynet, som gik ind i sagen.
Til Datatilsynet forklarede Vejen Kommune, at der på kommunens hjemmeside permanent kører en cpr-tjekker, som kontrollerer, om der på hjemmesiden ved en fejl offentliggøres personnumre.
Borgerens høringssvar med cpr-nummer blev offentliggjort en fredag, og cpr-tjekkerens resultater blev håndteret mandag morgen, hvorefter oplysningerne blev fjernet med det samme.
På baggrund af sagens oplysninger, kom Datatilsynet til følgende konklusion:
”Vejen Kommune har ikke gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på det af Vejen Kommune oplyste, herunder at fejlen skyldtes, at en medarbejder hos kommunen ikke har været opmærksom på, at oplysninger om klagers personnummer fremgik af signaturbeviset, og at kommunen ikke har processer for yderligere kontrol inden offentliggørelse af materiale på kommunens hjemmeside.”
At behandlingen ikke var sket i overensstemmelse med databeskyttelsesforordningen, fik Datatilsynet til at udtale kritik af Vejen Kommune.

Tanja Kammersgaard Christensen forklarer yderligere:

»De må gerne bede om cpr-nummeret, men en offentliggørelse vil kræve en helt særlig hjemmel. De skal have et lovligt behandlingsgrundlag. Kommunen ville for eksempel kunne have delt et cpr-nummer, hvis der var en væsentlig samfundsmæssig interesse i at offentliggøre det, men det er der ikke,« siger hun.

Hun oplyser også, at Randers Kommune er forpligtet til at anmelde databruddet til Datatilsynet.

Kommunen: Det er en beklagelig fejl

Sekretariatschef i Randers Kommunes Social og Arbejdsmarkedsafdeling, Sasia Jeppesen, er utroligt ked af, at 15 personers cpr-numre har været fri tilgængelige på kommunens hjemmeside i over tre uger, uden nogen havde opdaget det.

»Det er først og fremmest en beklagelig fejl, en menneskelig fejl, som vi er meget kede af,« siger hun.

I forbindelse med, at de frivillige sociale foreninger kunne søge om økonomisk støtte, kunne ansøgerne tilkendegive, at vedkommende ønskede at få tilsendt en kvittering for, at ansøgning var modtaget, til sin egen e-boks. I den forbindelse skulle ansøgeren oplyse sit cpr-nummer.

»Da vi laver sagen til udvalgsmødet, lægger vi alle ansøgningerne som bilag, og vi er ikke opmærksomme på, at cpr-numrene er tilgængelige i ansøgningerne. Vi fik 66 ansøgninger, og i 15 af dem har der været et personnummer,« siger sekretariatschefen og fortsætter:

»Vi har gjort det, at vi straks fjernede bilagene, da vi blev gjort opmærksom på det, og så har vi anmeldt det til Datatilsynet som et brud på datasikkerheden.«

Tager det meget alvorligt

Sekretariatschef Sasia Jeppesen fortæller, at Randers Kommune har et system, der skanner deres mails og udvalgsdagsordener for cpr-numre. Det systemer tjekker bare ikke bilagene.

»Vi burde have fanget det. Vi troede, vi havde nogle gode procedurer, men nu vil vi se, om vi kan gøre mere. Vi følger op på vores systemovervågning og vores manuelle procedurer. Vi kigger på, om vi kan få bedre systemunderstøttelse, der vil kunne tjekke bilagene også. Jeg ved ikke, om det er muligt, men det går vi i gang med at kigge på nu. Vi tager det meget alvorligt, og på alle måder er det meget beklageligt det her,« siger hun.

En af ansøgerne har sagt, at hun ikke ønsker at sende en ansøgning en anden gang, fordi hun er utryg. Hvad tænker du om det?

»Det bliver jeg utroligt ked af at høre. Vi vil gøre alt, hvad vi kan, for at forhindre, at det sker en anden gang. Så det skal ikke afholde folk fra at søge,« siger hun.

Sasia Jeppesen oplyser, at alle 15 personer samme dag, som Din Avis gjorde Randers Kommune opmærksom på fejlen, modtog et brev i deres personlige e-boks, hvor de blev oplyst om, at bruddet var sket, og hvem de kan henvende sig til, hvis de har spørgsmål.

Sagen er som sagt anmeldt til Datatilsynet, og de skal nu vurdere sagen.

Sagen kort:

Den 30. marts skulle Socialudvalget i Randers Kommune på et møde tage stilling til en række ansøgninger om de såkaldte § 18-midler.
På mødets dagsorden blev ansøgningerne vedhæftet i pdf-format, og i den forbindelse var man i Randers Kommune ikke opmærksom på, at der i 15 af ansøgningerne stod ansøgerens personnummer.
Cpr-numrene lå således frit tilgængelige på kommunens hjemmeside i over tre uger, indtil Din Avis gjorde både kommune og frivillige opmærksomme på databruddet.
Da kommunen blev gjort opmærksomme på det, fjernede de straks bilagene.