Brud på datasikkerhed: Medarbejder læste følsomme personoplysninger uden gyldig grund

Lolland Kommune har haft et brud på datasikkerheden. En medarbejder på ældre- og sundhedsområdet har over en længere periode regelmæssigt logget ind i et af kommunens fagsystemer og læst personfølsomme oplysninger i en række borgeres journaler, uden at det har haft et arbejdsrelevant formål.  

Opslagene er sket flere gange ugentligt og ofte udenfor arbejdstid.  

De første undersøgelser har vist, at det handler om mindst 33 borgeres oplysninger, men det kan principielt være flere, da den ulovlige praksis har stået på over længere tid.

Det drejer sig om fagsystemet NEXUS. Et system, der udover navn og adresse, også indeholder helbredsoplysninger og CPR-nummer.

Søren Wollesen, der er chef for Ældre & Sundhed, fortæller:

”Det er en dybt beklagelig sag, og vi ser med stor alvor på ethvert brud på vores datasikkerhed. Borgerne skal kunne være trygge ved, at deres data og personfølsomme oplysninger bliver opbevaret og håndteret korrekt. Men desværre kan vi aldrig helt gardere os mod misbrug”.

Der er på nuværende tidspunkt intet, der tyder på, at borgernes oplysninger er blevet kopieret, spredt eller misbrugt med onde eller negative hensigter. 

Kontrolfunktion har virket

Den pågældende medarbejders adgang til de kommunale fagsystemer er nu lukket og en undersøgelse af logdata og potentielt uretmæssige opslag er sat i værk. Sagen er desuden meldt til Datatilsynet som et brud på datasikkerheden. 

De ureglementerede opslag blev fundet som et led i Lolland Kommunes egne kontroller:

”Det var under en intern stikprøvekontrol, at vi blev opmærksomme på, at der var noget, der ikke var, som det skulle være. Det viser, at vores kontrolfunktion har fungeret, som den skal. Vi kontrollerer hvert år et stort antal medarbejdere, og vi har ikke tidligere haft tilfælde af samme karakter. Vi opfatter det derfor som en enkeltstående sag, og ikke som et udtryk for et større og mere generelt problem”, fortæller Søren Wollesen.

Han understreger, at der altid er plads til forbedringer: ”Vi har i Lolland Kommune et stort fokus på datasikkerhed, men vi vil på baggrund af den aktuelle sag gennemgå vores risikovurderinger på ny, og evaluere, om der er behov for at stramme op eller sætte ekstra tiltag i værk”.

Alle medarbejdere i Lolland Kommune skal minimum en gang om året gennemføre et onlinekursus om datasikkerhed, GDPR-regler og god adfærd i det offentlige. Kurset skal bestås med et tilfredsstillende resultat. Desuden bliver alle nye medarbejdere i Ældre & Sundhed ved ansættelsen præsenteret for kommunens kommunikations- og IT-politik.

I 2024 blev Ældre & Sundhed desuden udvalgt som såkaldt fokussektor for informationssikkerhed. Som et led heri vil alle teams få besøg af en informationssikkerhedskonsulent, der blandt andet vil orientere om reglerne for, hvornår borgerdata må tilgås. 

Mange kan være berørt

De 33 borgere, som det handler om, vil alle få direkte besked via e-boks eller pr. brev. 
Flere kan være berørt, men det er desværre ikke muligt at få det fulde overblik:

”Vi har kun data for en afgrænset periode. Teknisk kan vi derfor ikke afdække alle medarbejderens opslag, da det samlede forløb kan strække sig over flere år. Desuden vil det være svært at fastslå med sikkerhed, om de enkelte opslag har været af arbejdsmæssigt relevant karakter eller ej. Vi vil derfor gerne på forhånd beklage overfor alle, der potentielt kan være berørt”, afslutter Søren Wollesen.

Er man utryg eller har spørgsmål, er man velkommen til at kontakte Lolland Kommunes informationssikkerhedskonsulent Casper Schneidereit på telefon: 54 67 68 62 eller e-mail: cassc@lolland.dk. Telefonen er ekstraordinært åben alle hverdage fra klokken 8.00 til 22.00.