Gladsaxe Byråd har besluttet at igangsætte to undersøgelser af, hvordan og hvorfor det er gået så grueligt galt med it-sikkerheden i den københavnske forstadskommune.

Det sker efter to parallelle datalæk i 2018, hvoraf det første kun er kommet til politikernes kendskab med Politikens mellemkomst i sidste uge.

»Vi vil gerne, inden vi træffer beslutninger om, hvad der skal ske, have et ordentligt beslutningsgrundlag. Derfor sætter vi nu to forskellige undersøgelser i gang«, siger borgmester Trine Græse (S).

Kommunens økonomiudvalg har besluttet at få foretaget en ekstern granskning af kommunens it-sikkerhed »for at klarlægge om vores sikkerhed har det rette niveau og for at få anvisninger på, hvad der yderligere kan og bør iværksættes«.

Sagen Kort Gladsaxe-læk Gladsaxe mistede i december sidste år 20.600 borgeres fortrolige og i nogle tilfælde følsomme persondata, da en ukrypteret computer med en fil gemt på pc’ens skrivebord, blev stjålet fra rådhuset. Kommunen har erkendt flere lovbrud, blandt andet en uretmæssig behandling af data om borgernes religion. Over 1.300 bekymrede borgere har siden henvendt sig til kommunen for at få svar om sagen. Politiken har afsløret, at 40 borgeres data blev lækket 4 måneder før, i juli 2018, da en ubeskyttet computer med en frit tilgængelig fil blev mistet i en bus, uden at kommunen rettede op på sikkerheden. Havde kommunen reageret korrekt efter det første databrud i juli, havde de godt 20.000 berørte borgere, fordelt over 82 kommuner, sandsynligvis ikke fået kompromitteret deres persondata i december. Vis mere

Derudover har økonomiudvalget bestilt en intern afdækning af de brud på datasikkerheden, som Gladsaxe har oplevet, siden dataforordningens ikrafttræden 25. maj sidste år.

»Herunder belyse hvornår og hvilke kommunale aktører i Gladsaxe, det vil sige forvaltningschefer, byrådsmedlemmer, borgmester med flere er blevet orienteret og har ageret på hændelserne«, lyder det i den vedtagne tekst.

Fejl på fejl og skjult fortilfælde

Baggrunden er, at 20.600 borgere fra hele landet i slutningen af 2018 fik lækket deres personoplysninger på grund af fejl, ringe it-sikkerhed og en stjålet computer i Gladsaxe Kommune.

Politiken har afdækket, hvordan kommunen har begået fejl på fejl i behandlingen af borgernes data. Og i sidste uge afsløret, at datalækket i december faktisk var et gentagelsestilfælde.

Bare fire måneder forinden, i juli 2018, var der sket et helt parallelt datasikkerhedsbrud i kommunen, hvor 40 borgeres personoplysninger blev tabt på grund af fejl og en mistet, ubeskyttet computer.

Ifølge eksperter kunne det store læk i december være undgået, hvis kommunen havde rettet op på fejlene og sikkerheden.

Men borgere, byrådet og tilsyneladende heller ikke borgmesteren blev ikke orienteret om fortilfældet fra juli, før Politiken lagde sagen frem. Og det på trods af, at et Venstre-medlem spurgte specifikt ind til eventuelle fortilfælde på et byrådsmøde 19. december.

Flertal banket på plads

Et flertal uden om borgmesteren fremsatte i sidste uge et krav om, at hele forløbet omkring sikkerhedshændelserne skulle granskes af en ekstern undersøger. Men borgmesteren har siden formået at overbevise de øvrige partier om, at kommunens egen borgerrådgiver og databeskyttelsesrådgiver skal gennemføre undersøgelsen. Kun et mindretal bestående af Venstre og Enhedslisten holdt fast i ønsket om en ekstern kulegravning.

»På baggrund af den mundtlige redegørelse, vi har fået, føler jeg ikke længere behov for en uvildig undersøgelse«, siger viceborgmester Serdal Benli, der er gruppeformand for SF i Gladsaxe.

»Jeg føler ikke, forvaltningen eller borgmesteren skulle have intentioner om at fortie noget. Nogen har måske ikke været vakse eller set sammenhængene, men det får vi nu afdækket i en intern undersøgelse, og så kan vi tage bestik af det«, siger Serdal Benli, der også er folketingskandidat for SF.

Borgmester Trine Græse fastholder, at hun ikke kendte til det forudgående datalæk fra juli 2018, før Politiken præsenterede sagen for hende fredag 25. januar. Alligevel erklærer hun sig tilfreds med forvaltningens orienteringsniveau til hende og byrådet. Og nu vil hun se fremad i stedet for at skue tilbage.

»Man kan selvfølgelig stille spørgsmål ved de rette tidspunkter, men orienteringsniveauet har været fuldstændig i overensstemmelse med praksis; der er ingen, der har gjort noget for at holde noget skjult. Jeg har fuld tillid til, og det har øvrige partier også, at der ikke er holdt noget skjult. Og så har vi en databeskyttelsesrådgiver, der er ansat til at varetage sådan en opgave her, og som kan give os en fuldstændig afdækning af, om vi løser de opgaver, som vi skal«, siger Trine Græse.

Borgmester: Der blev aldrig spurgt ind til fortilfælde

Er du tilfreds med, at forvaltningen ikke af egen drift har orienteret dig om fortilfældet i juli, selv ikke efter, at byrådet 19. december specifikt spurgte ind til eventuelle fortilfælde?

»At der er blevet spurgt specifikt ind til det på byrådsmødet – det er ikke korrekt«, siger borgmesteren.

Martin Skou Heidemann (V) siger det da på byrådsmødet?

»Nej. Jeg har lyttet det igennem, og jeg kan ikke høre det. Det mener jeg ikke, der er blevet spurgt ind til. Og hvis han havde spurgt ind til det, ville jeg ikke kunne sige andet end, at det var jeg ikke bekendt med«, siger borgmesteren.

På lydoptagelsen fra byrådsmødet 19. december siger Venstre-politikeren 27 minutter inde i mødet: