Kommune: Svigt førte til omfattende datalæk fra lukket byggesagsarkiv
Mindst 4.543 CPR-numre var tilgængelige på Aarhus Kommunes offentlige byggesagsarkiv, MinEjendom, som blev lukket den 14. september, hvor det store brud på persondatasikkerheden blev opdatet.
Det viser den indledende redegørelse om bruddet, fremgår det af en pressemeddelelse fra Teknik og Miljø, Aarhus Kommune.
Minejendom.dk er et tegningsarkiv, kan man finde byggesager, tegninger og andre dokumenter fra byggesager i Aarhus.
De mange CPR-numre samt adresseoplysninger på 66 borgere med adressebeskyttelse var offentligt tilgængelig på siden i perioden fra 21. juni 2021 til 14. september 2021. Af disse er 375 CPR-numre og adresseoplysninger på fire personer med adressebeskyttelse kommet uvedkommende til kendskab, lyder det fra kommunen.
Redegørelsen konkluderer, at de mange CPR-numre og følsomme personoplysninger er gjort tilgængelige på MinEjendom i forbindelse med frigivelsen af en større datamængde, der blev gjort tilgængelig på løsningen 21. juni 2021.
– Det er uacceptabelt og alvorligt
Hidtil var alle 10 millioner filer i systemet lukkede, med mindre de maskinelt eller manuelt var gennemgået og tjekket for personlige oplysninger. Standarden var altså, understreger kommunen, at dokumenterne var lukkede med mindre nogen åbnede op for dem.
Den 21. juni blev der truffet beslutning om, at en datamængde på omkring 3 mio. dokumenter i 105.000 digitale byggesager i arkivet skulle være åbne som standard. Man baserede derfor alene persondatasikkerheden på et program som automatisk søgte på konkrete nøgleord i dokumenttitlerne, som kunne indikere, at et dokument indeholdt fortrolige oplysninger. Resten af filerne blev gjort tilgængelige. I alt blev der lukket 770.000 filer.
Baggrunden for den beslutning var, at robotten, der gennemgik dokumenterne i detaljen, med henblik på at åbne dem, arbejdede langsomt, og at der derfor blev brugt ressourcer hos borgere og i byggesagsafdelingen i Teknik og Miljø på at få adgang til dokumenterne manuelt. Det har imidlertid vist sig, at arbejdsmetoden med søgeord og udtagning af særlige filer slet ikke var tilstrækkeligt for at sikre datasikkerheden.
– Det er uacceptabelt og alvorligt, at disse oplysninger har været offentligt tilgængelige, siger direktør i Teknik og Miljø, Henrik Seiding i pressemeddelelsen.
- Vi har truffet beslutninger omkring MinEjendom uden tilstrækkelige risikovurderinger og med alt for stor letsindighed. Det må jeg bare beklage, tilføjer han.
Yderligere undersøgelser
Som udløber af den indledende redegørelse, vil der den kommende tid blive foretaget yderligere undersøgelser af sagsforløbet og de retningslinjer, som Aarhus Kommune arbejder efter i forhold til IT-sikkerhed.
En endelig redegørelse forventes at foreligge inden årets udgang.
Sagen betyder blandt andet, at der vil blive foretaget en række tjenstlige samtaler med de personer, som var med til at træffe beslutningerne omkring den kritisable åbning af systemet.
Samtalerne skal også klarlægge, hvordan man reagerede på 14 mindre datalæk i tiden frem mod maj 2021 i forhold til datasikkerheden i MinEjendom.
MinEjendom er endnu ikke genåbnet. Der foretages nu en grundig risikovurdering af persondatasikkerheden på siden, inden en gradvis genåbning eventuelt kan ske. Teknik og Miljø er i gang med at indkøbe et helt nyt system, der kan håndtere offentlighedens adgang til byggesager på en betrykkende måde. Det er forventningen, at det nye system kan sættes i drift 1. januar 2022.