Kommuners ukrypterede mail-svipsere er ‘dybt ulovlige og tegn på umodenhed’

De drypvise læk er eksempler på et lille juridisk problem, der bliver stort, fordi man ikke gør noget ved det, lyder det fra jurist.

Når kommuner sender ukrypteret post, der ender i tilfældige indbakker rundt omkring i landet, er det ulovligt og i strid med både Databeskyttelsesloven og GDPR, men faktisk også med sikkerhedsbekendtgørelsen, der går helt tilbage til år 2000.

Version2 har tidligere beskrevet, hvordan dybt følsomme mails, der skulle være sendt internt i Randers Kommune, ender hos en Anders Lorensen, fordi han ejer domænet anders.dk. Med en enkelt stavefejl i mailadressen ender posten således hos Anders.dk og ikke Randers.dk.

»Det er en gammel kendt regel for myndighederne, at CPR-numre ikke må sendes ukrypteret. Det her har været ulovligt i tyve år. Derudover viser den her sag et lavt modenhedsniveau, siger Jon Lauritzen, der er advokat hos Delacour med speciale i it- og persondataret.

It-chef i Randers Kommune, Bent Højlund, siger, der er tale om menneskelige fejl. Men det fritager dem ikke for ansvaret, fortæller Jon Lauritzen.

»Hvis de her mails var sendt i et internt system, afskåret fra internettet, ja så var det fint nok, at de ikke var krypterede,« fortæller advokaten.

Men det var ikke tilfældet. De lækkede mails blev sendt over internettet, og det var de også blevet, hvis de var kommet frem til den medarbejder i Randers Kommune, der egentlig skulle have modtaget dem i første omgang.

Flere skærpende omstændigheder

Derudover er det juridisk skærpende, at Randers Kommune ikke reagerer på de advarsler, kommunen har fået ind. Herunder en advarsel til kommunens Direktør for Social og Arbejdsmarked Steinar Kristensen, der stadig ikke ønsker at forklare over for Version2, hvorfor han ikke handlede på advarslen om de mange vildfarne mails fra Anders Lorensen tilbage i 2014.

Eller som et minimum informerede it-chefen, så denne kunne gøre noget ved problemet.

»Hvis jeg var datatilsynet, ville jeg klart skærpe vurderingen. Hvis det er rigtigt, at direktøren har været opmærksom på det i lang tid, så er det virkelig kritisabelt,« siger Jon Lauritzen.

Der gik i øvrigt længe, inden datatilsynet blev informeret. Det skete først, efter at Version2 havde været i kontakt med Bent Højlund for tredje gang, hvor han fortalte Version2, at man endnu ikke havde indmeldt datalækket til Datatilsynet.

Datatilsynet, som i øvrigt ikke har nogen kommentarer til sagen, fortæller dog efterfølgende, at en anmeldelse er tikket ind.

»Randers Kommune er en stor virksomhed. De har ressourcerne til at gøre noget ved det her, de har egen it-afdeling og burde på flere måder have mulighed for at undgå læk som dette. Modsat eksempelvis en lille tomandsvirksomhed,« siger Jon Lauritzen, der også mener, dét er juridisk skærpende.

Han fortæller desuden, at en potentiel bøde bliver større, jo længere et læk er blevet ved, og hvis der er tale om gentagelser. Dog bør det i denne forbindelse nævnes, at langt de fleste hovsa-mails til Anders Lorensen er modtaget, før GDPR trådte i kraft den 25 juni.

Ingen forholdsregler truffet

Bent Højlund, som er it-chef i Randers Kommune, fortæller desuden til Version2, at man ikke hos Randers Kommune får nogen som helst advarsel, når man sender mails, der fortæller medarbejderen, at e-posten er på ved ud af huset. Derudover har man først nu blacklistet anders.dk, så medarbejderne ikke kan sende post til den forkerte indbakke.

Men alle de andre domæner der minder om @randers.dk er stadig whitelistede. Derfor kan der potentielt godt være mere post på vej ud af Randers Kommune i skrivende stund. @rander.dk er eksempelvis ejet af nogen, der ikke er Randers Kommune, og med den mængde fejlpost Anders Lorensen har modtaget er det svært at udelukke, at flere hovsa-mails skulle være endt hos andre borgere eller organisationer.

Bent Højlund fortæller dog, at han i skrivende stund overvejer at blackliste flere domæner, men at han er tilbageholdende, fordi det risikerer at gå ud over kommunens udadgående kommunikation.

»Vi har også fået mange tilbud fra virksomheder der godt vil hjælpe os efter Version2’s artikler, og mange af kommentarerne under artiklerne indeholder gode tips, som vi lige nu overvejer,« siger Bent Højlund.

Lav modenhed

»Når man ikke tænker it-sikkerhed, så får man ikke it-sikkerhed. Det her et et godt eksempel på et lille problem, som bliver stort, fordi Randers Kommune ikke gør noget ved det,« siger Jon Lauritzen

Det viser et lavt modenhedsniveau, mener juristen og bakkes op af Claus Vesthammer, der er sikkerhedskonsulent hos Improsec. Han giver juristen ret i, at Randers Kommune på det her punkt har en utrolig lav it-modenhed og kalder kalder Randers Kommunes nuværende løsning med at blackliste anders.dk en ‘lappeløsning’.

Han mener, at hovedårsagen til den uheldige udadgående poststrøm er, at Randers Kommune har givet deres medarbejdere et for stort ansvar for håndteringen af data, som er meget nemt teknisk at fritage dem for.

»Når direktøren vælger at negligere det her og udadtil sige, at man gør noget men tilsyneladende intet gør - så er det stærkt kritisabelt. Det er rigtig, rigtig nemt at ændre det her, så der er ingen grund til at gå og vente, til det sker næste gang,« siger Claus Vesthammer.

Hos Randers Kommune selv mener man, at modenheden er i top.

»Vi har et højt modenhedsniveau. Vi deltager i adskillige undersøgelser, er en del af KL’s benchmark og har revisionsfirmaet BDO til at gennemgå vores processer, besøge vores it-afdeling og se, om vi har adskilt tingene, har styr på koder og så videre,« siger Bent Højlund.