50.000 filer med personfølsomme oplysninger er blevet lagt på en server, som folk uden for Kalundborg Kommune også kan tilgå.
Det var ikke meningen, og nu beklager Kalundborg Kommune.
Årsagen var en menneskelig fejl
Jan Lysgaard Thomsen, der er kommunaldirektør i Kalundborg Kommune, har røde ører, da han møder TV ØST torsdag.
Muligvis ikke bare på grund af kulden, men også på grund af den fejl, der er sket intent i kommunen, og som nu er blevet ekstern.
- Vi skal selvfølgelig være de første til at beklage, at det her er sket. Det er en menneskelig fejl i vores organisation, som er årsag til, at der desværre har ligget fortrolige oplysninger på en server, vi har brugt til at udveksle oplysninger internt og med it-leverandører.
Læk af personfølsomme oplysninger
Lækagen opstod angiveligt i midten af november, da en ansat ville lave en back up af it-afdelingens kommunikation med ansatte, eksterne samarbejdspartnere og kommunens store it-leverandører.
Det er naturligvis kritisk, fordi der er tale om personfølsomme eller virksomhedsfølsomme oplysninger
Indholdet endte dog ved en fejl i en ukrypteret version på en såkaldt ftp-server.
Det er en server, som kommunens jurister typisk bruger til at dele informationer med borgere, der søger aktindsigt, eller som firmaer, der skal sende store datamængder til kommunen, kan uploade data til.
- Det er naturligvis kritisk, fordi der er tale om personfølsomme eller virksomhedsfølsomme oplysninger, som i deres karakter er fortrolige, siger kommunaldirektøren.
Samtidig påpeger han dog, at det formentligt er få personer, der reelt har haft adgang til serveren.
Få personer har været på serveren
Kommunens foreløbige undersøgelser viser, at der kun er én, der de sidste 14 dage, har været på serveren. Og det var én, der havde søgt om aktindsigt, en journalist fra Børsen.
Der er dog 11 dage forinden det, hvor kommunen ikke kan se trafikken, men ifølge Jan Lysgaard Thomsen formoder kommunen, at der ikke har været nogen, der har haft adgang til oplysningerne.
Chef for DKCELF, der rådgiver om it-sikkerhed, Henrik Larsen, mener, at man som offentlig institution bør have nogle sikkerhedsprocedurer, der skal overholdes.
- Der må være nogle regler omkring, hvordan man laver backup. Der skal være en kultur om, at der skal være en dobbeltkontrol. Der må ikke gå en måneds tid, før man opdager, at en backup er blevet lagt et forkert sted, siger Henrik Larsen.
Det er et spørgsmål om en sikkerhedskultur, hvor man har en nedskrevet procedure.
Kommunen vil skærpe it-sikkerhed
Kommunaldirektøren medgiver, at Kalundborg Kommune har noget, de skal have indhentet, når det kommer til cybersikkerhed.
- Vi har sat et kæmpe arbejde i gang for at nå helt til bunds med, hvordan det her kunne ske. Vi vil i den grad lægge os i selen for, at vi får tilrettelagt en praksis på en måde, så det her aldrig kommer til at ske igen, lover Jan Lysgaard Thomsen, som fortæller, at Kalundborg Kommune er i dialog med Datatilsynet.