Bankkonto-numre og cpr flød rundt på kommunal hjemmeside

Via en hjemmeside under Gentofte Kommune har det i en periode været muligt for uvedkommende at tilgå blandt andet navne, cpr-numre og bankkontonumre på forskellige personer.

Version2 er blevet opmærksom på problemet via et læsertip. De følsomme oplysninger har været tilgængelige via et website. Sitet indeholdt en login-boks, som udover en knap til login også var udstyret med en knap med teksten 'Fri adgang'.

Et klik på knappen gav adgang til flere hundrede dokumenter. Og heraf har i hvert fald to dokumenter, som Version2 umiddelbart har kunnet identificere, indeholdt data, der ikke burde være offentligt tilgængelige.

Det ene dokument var en liste med seks personnavne og tilhørende cpr-numre.

Det andet dokument indeholder otte personnavne. Ud for seks af disse navne er der både et cpr-nummer og et bankkontonummer.

Det har med begrundelse om ferie ikke været muligt at få et mundtligt interview med en ansvarlig ved Gentofte Kommune.

Men i et skriftligt svar oplyser Claus Roikjer, chef for Gentofte Ejendomme:

»Jeg skal være den første til at beklage, at det har været muligt at se to dokumenter med personfølsomme oplysninger på partnerportalen.dk. Der er angivelig tale om en menneskelig fejl, hvor en medarbejder har lagt de to dokumenter forkert ind i systemet.«

Det skriftlige svar fra Claus Roikjer fortsætter:

»Vi har i Gentofte Kommune et meget stort og kontinuerligt fokus på datasikkerhed og arbejder løbende på at minimere risikoen også for menneskelige fejl. Derfor tager vi også sagen meget alvorligt.«

Hjemmeside til byggeprojekter

Hjemmesiden, som har gjort de fortrolige oplysninger tilgængelige blev etableret i 2010 i forbindelse med en række større byggeprojekter i Gentofte Kommune.

Portalen var primært et internt arbejdsredskab, men nogle af dokumenterne på portalen var bevidst gjort tilgængelige for kommunens samarbejdspartnere og journalister.

Byggeprojekterne, som Partnerportalen skulle facilitere, sluttede i 2011, hvorefter Partnerportalen blev lukket.

Men da kommunen stadig havde behov for diverse opfølgninger på blandt andet byggesager, var der en aftale om, at portalen fortsat skulle være tilgængelig for medarbejdere i Gentofte Kommune.

Kommunen beslutter at lukke portalen helt i marts 2016. Først efter Version2 27. juni i år i første omgang retter henvendelse til leverandøren af løsningen, Dansk Scanning A/S, bliver data slettet, og systemet tages ud af drift.

I en mail oplyser Gentofte Kommunen, at 'efter Version2's henvendelse har Gentofte Kommune i samarbejde med vores leverandør Dansk Scanning A/S undersøgt, om der er andre dokumenter med personfølsomme oplysninger, der har været tilgængelige for offentligheden.

Gentofte Kommune og Dansk Scanning A/S har ikke fundet andre blotlagte filer med personfølsomme oplysninger end de af Version2 nævnte.'

Umiddelbart lader de pågældende dokumenter heldigvis ikke til at være blevet overrendte. I hvert fald oplyser kommunen via mail, at to unikke ip-adresser har været inde på de blotlagte filer den 14. og 15. juni 2016. Kommunen formoder, at det er sket i forbindelse med Version2's research.

Denne formodning er givetvis korrekt.

Gentofte Kommune har ikke noget konkret bud på, hvor længe der har været fri adgang til blandt andet folks cpr-numre via partnerportalen.dk

Kommunens umiddelbare vurdering er, at dokumenterne har ligget frit tilgængelige siden marts i år.

Desuden oplyser kommunen, at der endnu ikke er taget stilling til, hvorvidt man vil kontakte de personer, der har fået blotlagt deres cpr-numre - og for nogens vedkommende - bankkontonumre.