Kommune offentliggjorde 578 elevers cpr-numre

578 elevers cpr-numre lå offentligt tilgængeligt i næsten seks måneder

578 elever i Ringsted Kommune har fået deres CPR-numre lækket - af
578 elever i Ringsted Kommune har fået deres CPR-numre lækket - af

Ved du noget?

Tip os på sms 1224 (alm. sms-takst), eller send en mail til 1224@eb.dk. Du kan også vælge at udfylde formularen herunder.

Ringsted Kommune har ved en fejl offentliggjort 578 elever fra kommunens cpr-numre på kommunens hjemmeside.

Det fremgår af et brev, som Ringsted Kommunes skolecenter har sendt til forældre til de berørte elever.

Ekstra Bladet er i besiddelse af brevet, som du kan læse nederst i artiklen.

Samfund 46.000 har fået personlig data lækket

Lå som bilag
Af brevet fremgår det, at cpr-numrene blev offentliggjort som et bilag til et dagsordenspunkt i kommunens Børne- og Ungeudvalg.

Bilaget blev offentliggjort på hjemmesiden den 14. april 2020 og har altså ligget frit tilgængeligt frem til den 23. oktober, hvor fejlen blev opdaget.

Bilaget var et tillæg til en oversigt over unge i kommunes uddannelsesvalg.

I bilaget lå cpr-numrene i et ekstra faneblad i et Excel-ark.

Københavns Politi har startet en undersøgelse af de mange sager om virksomheder, der bliver overtaget af svindlere. Foto: Stine Tidsvilde Erhvervsnyheder Politiet undersøger bølge af datasvindel

Alvorligt brud
Ringsted Kommune erkender selv i brevet til forældrene, at der er tale om 'et alvorligt brud på sikkerheden':

'En af konsekvenserne ved, at dit barns cpr.nr. har været tilgængeligt kan være, at det bliver misbrugt. Vi vil bede dig være opmærksom på, om dit barns cpr. nr. bliver brugt uberettiget. Dette kan i værste fald være i forbindelse med identitetstyveri eller lignende,' skriver Ringsted Kommune i brevet.

Kommunen kan konstatere, at flere IP-adresser har besøgt bilaget i perioden, hvor cpr-numrene har været tilgængelige.

Gerningsmændene har ifølge politiets efterforsker hevet et nytilsendt NemID op fra postkassen. Foto: Jens Dresling/POLFOTO Nyheder Ny type svindel afslører sikkerhedshul i NemID

Menneskelig fejl
Over for Ekstra Bladet siger skolecenterchef i Ringsted Kommune Jesper Ulrich, at der er tale om en menneskelig fejl.

Han vil dog ikke udtale sig om, hvorvidt fejlen får konsekvenser for den pågældende medarbejder.

Fejlen blev opdaget af en automatisk robot, der screenede kommunens hjemmeside - og derefter blev bilaget fjernet.

- Vi har med det samme besluttet, at vi ikke lægger regneark op som bilag, men de bliver konverteret til PDF.

- På den måde kan det ikke ske igen, siger Jesper Ulrich til Ekstra Bladet.

Kontakt politiet
Jesper Ulrich fortæller også, at kommunen er i gang med at undersøge, hvorvidt nogle cpr-numre er blevet misbrugt:

- Vi er i gang med at undersøge de IP-adresser, der har været inde på bilaget, men vi er ikke vidende om, at nogens cpr-nummer er blevet misbrugt.

Kommunen opfordrer forældrene til de 578 elever til at kontakte politiet, hvis der er mistanke om, at cpr-numrene bliver misbrugt.

I slutningen af brevet beklager Ringsted Kommune dybt over for de berørte forældre og elever.

Læs brevet til 578 elevers forældre her:

Underretning om brud på datasikkerheden

Vi har den 23. oktober 2020 i forbindelse med en sikkerhedsscanning af vores hjemmeside opdaget, at der i et bilag (et regneark) til et dagsordenspunkt omhandlende unges uddannelsesvalg, i tillæg til oversigten over unges samlede uddannelsesvalg, har været et andet faneblad, hvor cpr.nr. og navn på 578 skoleelever i Ringsted Kommune fremgik. Vi har, straks da vi opdagede fejlen, orienteret de berørte borgere via brev i E-Boks.

Vi har nu fundet frem til de berørte unge menneskers forældre. Du modtager derfor denne orientering om bruddet, så du har mulighed for at tage de nødvendige forholdsregler sammen med dit barn for at undgå eller begrænse konsekvenserne af bruddet. 

Ringsted Kommune har i forbindelse med en sikkerhedsscanning af kommunens hjemmeside konstateret et sikkerhedsbrud. Det betyder, at cpr.nr på dit barn (NAVN SLETTET, red.) har ligget offentligt tilgængeligt på Ringsted Kommunes hjemmeside. Alle cpr.nr er fjernet fra hjemmesiden fredag, den 23. oktober 2020.

Dagsordenspunktet med bilag er behandlet i Børne- og Undervisningsudvalget henholdsvis den 20. april og den 18. maj, i Økonomiudvalget den 2. juni og i Byrådet den 8. juni. 

Excel-arket har altså været tilgængeligt siden 14. april 2020 og frem til den 23. oktober 2020, hvor arket er blevet slettet straks, da vi opdagede at bilaget indeholdt et faneblad med cpr. numre. 

Vi har kunnet konstatere, at det pågældende excel-ark er åbnet fra flere forskellige IP-adresser i denne periode. Cpr-numrene har ikke været synlige ved almindelig gennemlæsning af sagen.

Der er tale om et meget alvorligt brud på sikkerheden. En af konsekvenserne ved, at dit barns cpr.nr. har været tilgængeligt kan være, at det bliver misbrugt. 

Vi vil bede dig være opmærksom på, om dit barns cpr.nr. bliver brugt uberettiget. Dette kan i værste fald være i forbindelse med identitetstyveri eller lignende. Du kan læse mere om identitetstyveri på Borger.dk via disse links

https://www.borger.dk/internet-og-sikkerhed/Identitetstyveri/Hvad-er-identitetstyveri

https://www.borger.dk/internet-og-sikkerhed/Identitetstyveri/Offer-for-identitetstyveri

Hvis du har mistanke om, at dit barns cpr. nr er blevet misbrugt skal du kontakte politiet.

Vi beklager dybt, at oplysningerne blev gjort tilgængelige til at starte med og arbejder på at sikre, at det ikke sker igen. Hvis du har spørgsmål, er du velkomme til at kontakte skolechef Jesper Ulrich på skolecenter@ringsted.dk eller 41 72 25 35. Ligesom du kan kontakte Ringsted Kommunes databeskyttelsesrådgiver på dpo.ringsted@bechbruun.com eller tlf. nr. 72 27 30 02. 

Som nævnt ovenfor har vi sendt et brev direkte til dit barn om dette sikkerhedsbrud. Dog fremgår det i brevet, at dagsordenspunktet var tilgængeligt fra den 21. april 2020, men den rigtige dato er den 14. april 2020, som skrevet her i dette brev.

Med venlig hilsen

Jesper Ulrich

Skolecenterchef

Ved du noget?

Tip os på sms 1224 (alm. sms-takst), eller send en mail til 1224@eb.dk. Du kan også vælge at udfylde formularen herunder.

47 kommentarer
Vis kommentarer