Databrud: Styrelse lækker 150.000 cpr-numre

Dybt hemmelige folkeregister-adresser og cpr-numre var offentligt tilgængelige i knap to døgn efter data-fejl hos Erhvervsstyrelsen

Styrelsen kender ikke konsekvenserne af bruddet på datasikkerheden, hvor cpr-numre og adresser var synlige i næsten to døgn. Foto: Lasse Kofod/Ritzau Scanpix
Styrelsen kender ikke konsekvenserne af bruddet på datasikkerheden, hvor cpr-numre og adresser var synlige i næsten to døgn. Foto: Lasse Kofod/Ritzau Scanpix

150.000 virksomheds-ledere er blevet udsat for brud på person-datasikkerheden begået hos Erhvervsstyrelsen.

Deres cpr-numre samt 1500 beskyttede adresser - registreret i Det Centrale Virksomhedsregister (CVR) - blev i næsten to døgn gjort offentligt tilgængelige.

Det oplyser Erhvervsstyrelsen, som opdagede lækagen fredag 29. januar og derefter reagerede ved at lukke ned for de to databaser CVR og Virk.

IT-nedbrud hos Erhvervsstyrelsen

Ukendte konsekvenser
Erhvervsstyrelsen oplyser lørdag, at man ikke ved, hvor mange der rent faktisk har brugt adgangen til de lækkede person-oplysninger. De var på grund af en manuel fejl tilgængelige i tidsrummet 27. januar klokken 20.00 til 29. januar klokken 15.00.

'Erhvervsstyrelsen kan ikke konkret tilgå oplysninger om, hvor mange af brugerne der de facto har indhentet de pågældende oplysninger. Styrelsen har derfor konkret orienteret alle brugerne (omkring 3000) om, hvilke typer oplysninger der er tale om, herunder at oplysningerne skal slettes, hvis brugeren har indhentet dem.' skriver styrelsen i en mail til Ekstra Bladet.

Ifølge Erhvervsstyrelsen er det 3000 brugere med adgang til det såkaldte CVR-indeks, som har haft adgang til de fortrolige oplysninger.

Der er typisk tale om professionelle brugere af CVR. Eksempelvis revisorer og andre rådgivere, der skal have særlig adgang til deres klienters oplysninger. Men det kan også være statistikere og virksomheder, der bearbejder og offentliggør virksomhedsdata.

Usandsynligt
Men Erhvervsstyrelsen kan altså ikke afdække, hvem af de 3000, der har benyttet adgangen under databruddet. Man ved derfor heller ikke, hvor mange af de 150.000 synlige cpr-numre og fortrolige oplysninger, som rent faktisk er blevet set - eller videregivet.

(Artiklen fortsætter under dokumentet)

Uddrag af brevet til de berørte virksomhedsledere.
Uddrag af brevet til de berørte virksomhedsledere.

'Erhvervsstyrelsen beklager fejlen, men anser det ikke som sandsynligt, at 3000 har haft adgang til 150.000 personers oplysninger og givet dem videre. Det er ikke realistisk. Vi reagerede forholdsvis hurtigt', oplyser styrelsen til Ekstra Bladet.

Styrelsen har fjernet de 150.000 cpr-numre igen - og indberettet lækagen til Datatilsynet.

Samtidig har man skrevet til de 150.000 berørte virksomhedsledere - samt til de 3000 brugere, at de på grund af en fejl har kunnet se oplysningerne - og at det vil være ulovligt at videregive dem.

--------- SPLIT ELEMENT ---------

Databrud: Styrelse lækker 150.000 cpr-numre

Falske mails, SMS beskeder, spam: Techredaktør Heine Jørgensen forklarer hvordan man beskytter sig mod falske tilbud.