Lå som bilag Af brevet fremgår det, at cpr-numrene blev offentliggjort som et bilag til et dagsordenspunkt i kommunens Børne- og Ungeudvalg.
Bilaget blev offentliggjort på hjemmesiden den 14. april 2020 og har altså ligget frit tilgængeligt frem til den 23. oktober, hvor fejlen blev opdaget.
Bilaget var et tillæg til en oversigt over unge i kommunes uddannelsesvalg.
I bilaget lå cpr-numrene i et ekstra faneblad i et Excel-ark.
Alvorligt brud Ringsted Kommune erkender selv i brevet til forældrene, at der er tale om 'et alvorligt brud på sikkerheden':
'En af konsekvenserne ved, at dit barns cpr.nr. har været tilgængeligt kan være, at det bliver misbrugt. Vi vil bede dig være opmærksom på, om dit barns cpr. nr. bliver brugt uberettiget. Dette kan i værste fald være i forbindelse med identitetstyveri eller lignende,' skriver Ringsted Kommune i brevet.
Kommunen kan konstatere, at flere IP-adresser har besøgt bilaget i perioden, hvor cpr-numrene har været tilgængelige.
Menneskelig fejl Over for Ekstra Bladet siger skolecenterchef i Ringsted Kommune Jesper Ulrich, at der er tale om en menneskelig fejl.
Han vil dog ikke udtale sig om, hvorvidt fejlen får konsekvenser for den pågældende medarbejder.
Fejlen blev opdaget af en automatisk robot, der screenede kommunens hjemmeside - og derefter blev bilaget fjernet.
- Vi har med det samme besluttet, at vi ikke lægger regneark op som bilag, men de bliver konverteret til PDF.
- På den måde kan det ikke ske igen, siger Jesper Ulrich til Ekstra Bladet.
Kontakt politiet Jesper Ulrich fortæller også, at kommunen er i gang med at undersøge, hvorvidt nogle cpr-numre er blevet misbrugt:
- Vi er i gang med at undersøge de IP-adresser, der har været inde på bilaget, men vi er ikke vidende om, at nogens cpr-nummer er blevet misbrugt.
Kommunen opfordrer forældrene til de 578 elever til at kontakte politiet, hvis der er mistanke om, at cpr-numrene bliver misbrugt.
I slutningen af brevet beklager Ringsted Kommune dybt over for de berørte forældre og elever.
Læs brevet til 578 elevers forældre her:
Underretning om brud på datasikkerheden
Vi har den 23. oktober 2020 i forbindelse med en sikkerhedsscanning af vores hjemmeside opdaget, at der i et bilag (et regneark) til et dagsordenspunkt omhandlende unges uddannelsesvalg, i tillæg til oversigten over unges samlede uddannelsesvalg, har været et andet faneblad, hvor cpr.nr. og navn på 578 skoleelever i Ringsted Kommune fremgik. Vi har, straks da vi opdagede fejlen, orienteret de berørte borgere via brev i E-Boks.
Vi har nu fundet frem til de berørte unge menneskers forældre. Du modtager derfor denne orientering om bruddet, så du har mulighed for at tage de nødvendige forholdsregler sammen med dit barn for at undgå eller begrænse konsekvenserne af bruddet.
Ringsted Kommune har i forbindelse med en sikkerhedsscanning af kommunens hjemmeside konstateret et sikkerhedsbrud. Det betyder, at cpr.nr på dit barn (NAVN SLETTET, red.) har ligget offentligt tilgængeligt på Ringsted Kommunes hjemmeside. Alle cpr.nr er fjernet fra hjemmesiden fredag, den 23. oktober 2020.
Dagsordenspunktet med bilag er behandlet i Børne- og Undervisningsudvalget henholdsvis den 20. april og den 18. maj, i Økonomiudvalget den 2. juni og i Byrådet den 8. juni.
Excel-arket har altså været tilgængeligt siden 14. april 2020 og frem til den 23. oktober 2020, hvor arket er blevet slettet straks, da vi opdagede at bilaget indeholdt et faneblad med cpr. numre.
Vi har kunnet konstatere, at det pågældende excel-ark er åbnet fra flere forskellige IP-adresser i denne periode. Cpr-numrene har ikke været synlige ved almindelig gennemlæsning af sagen.
Der er tale om et meget alvorligt brud på sikkerheden. En af konsekvenserne ved, at dit barns cpr.nr. har været tilgængeligt kan være, at det bliver misbrugt.
Vi vil bede dig være opmærksom på, om dit barns cpr.nr. bliver brugt uberettiget. Dette kan i værste fald være i forbindelse med identitetstyveri eller lignende. Du kan læse mere om identitetstyveri på Borger.dk via disse links
Hvis du har mistanke om, at dit barns cpr. nr er blevet misbrugt skal du kontakte politiet.
Vi beklager dybt, at oplysningerne blev gjort tilgængelige til at starte med og arbejder på at sikre, at det ikke sker igen. Hvis du har spørgsmål, er du velkomme til at kontakte skolechef Jesper Ulrich på skolecenter@ringsted.dk eller 41 72 25 35. Ligesom du kan kontakte Ringsted Kommunes databeskyttelsesrådgiver på dpo.ringsted@bechbruun.com eller tlf. nr. 72 27 30 02.
Som nævnt ovenfor har vi sendt et brev direkte til dit barn om dette sikkerhedsbrud. Dog fremgår det i brevet, at dagsordenspunktet var tilgængeligt fra den 21. april 2020, men den rigtige dato er den 14. april 2020, som skrevet her i dette brev.
Med venlig hilsen
Jesper Ulrich
Skolecenterchef
Ved du noget?
Indsend billede el. video
Tak for dit tip!
Der opstod en fejl - prøv igen
Husk at udfylde alle felter og at vedhæftet materiale ikke må fylde mere end 5 mb.
Hvis problemet bliver ved, kan du indsende tip på sms til 1224 (alm. sms takst), eller via email til 1224@eb.dk.