Der er sket et databrud i Skive Kommune. Personlige oplysninger om 195 borgere er blevet set af en medarbejder, der ikke havde brug for oplysningerne for at kunne udføre sit arbejde. Fejlen er opdaget i forbindelse med, at kommunen har indført et nyt system, der har skærpet datasikkerheden. De første test blev foretaget i slutningen af april, hvor medarbejderen blev opdaget. De berørte borgere og deres nære familierelationer har fået et personligt brev i e-Boks om databruddet.

Skive Kommune arbejder løbende på at forbedre datasikkerheden i de forskellige IT-systemer, der bliver anvendt. I den forbindelse har kommunen gennem det seneste år arbejdet sammen med en leverandør om at udvikle en automatiseret sporing af søgninger i systemet SAPA (Sags- og Partsoverblik). Det er et datasystem, alle kommuner i landet bruger. De første sikkerhedstest blev foretaget i april. Det var i den forbindelse, det blev opdaget, at en medarbejder havde foretaget nogle uretmæssige søgninger på personlige oplysninger om 195 borgere – det vil sige, at søgningen ikke havde relevans for varetagelsen af medarbejderens arbejde. 

– Lad det være sagt med det samme: Det må ikke ske, og det er en sag, vi ser på med stor alvor. Vores medarbejdere må ikke tilgå borgernes oplysninger, når det ikke er arbejdsrelateret. Det indskærper vi løbende, blandt andet deltager vores medarbejdere i obligatoriske kurser om reglerne for datasikkerhed, så de er klædt bedst muligt på til at håndtere deres opgaver på sikker vis, siger Lars Harder, direktør i Social- og Arbejdsmarkedsforvaltningen. 

– Der vil altid være menneskelige faktorer, men det nye sikkerhedssystem er indrettet på den måde, at der sker en automatiseret behandling af logs. Dermed fik medarbejderens nærmeste leder automatisk besked om, at der var foretaget nogle uretmæssige søgninger, siger Lars Harder. 

Sagen blev undersøgt grundigt, og så snart det blev afdækket, at der ikke var en arbejdsmæssig begrundelse for opslagene, blev der lukket for medarbejderens adgang til IT-systemer med personlige oplysninger. Medarbejderen er også sendt hjem, og det er indstillet til kommunens økonomiudvalg, at der rejses en personalesag, som følger de personaleretlige regler.

Melt til Datatilsynet

Da der er tale om personoplysninger, har Skive Kommune efter Persondataforordningens regler rutinemæssigt anmeldt databruddet til Datatilsynet og nøje fulgt tilsynets procedurer. Torsdag sendte kommunen brev ud via e-Boks til 152 borgere, som blev orienteret om, hvilke data den pågældende medarbejder har set. 43 af søgningerne skete på borgere, der var døde. Derfor er antallet af breve lavere end de 195.

– Vi har lagt rigtig meget arbejde i at få klarlagt sagen og for at skabe det overblik, vi nu har. Vi ville være sikre på, at vi havde vendt hver en brik, så vi kunne give den korrekte information til de berørte borgere. Derfor har vi ud over at følge loggen i hvert enkelt tilfælde også haft samtaler med medarbejderen, fortæller Charlotte Ben Mabrouk, sekretariatschef i Social- og Arbejdsmarkedsforvaltningen. 

Der er i de fleste tilfælde tale om oplysninger som for eksempel navn, adresse, alder og lægepraksis. I enkelte tilfælde har medarbejderen også kigget på familierelationer og sagsoverblik. 

– Ud fra vores interne undersøgelse har vi vurderet, at der kun er en lille risiko for, at oplysningerne er blevet videregivet eller misbrugt. Den pågældende medarbejder har under hele ansættelsen været underlagt tavshedspligt. Hvis borgerne mod forventning fatter mistanke om, at deres data kan være blevet misbrugt, beder vi dem rette henvendelse til os. Det har vi også informeret borgerne om i det brev, vi har sendt dem, siger Charlotte Ben Mabrouk.

IT-sikkerheden skærpet

Det sikkerhedssystem, som Skive Kommune anvender til at spore søgninger, hedder Innolog. Det har kommunen brugt siden 2019. Sammen med leverandøren af Innolog har kommunen gennem det seneste udviklet den nye mulighed for at automatisere sporingen af søgninger i SAPA. Den skærpede sikkerhed blev implementeret i april. 

Indtil det nye datasikkerhedssystem blev indført, var det op til den enkelte afdelingsleder i kommunen at føre stikprøvekontrol med medarbejdernes søgninger. 

– Men udviklingen inden for datasikkerhed går utrolig hurtigt. Derfor er der behov for løbende at opgradere vores systemer. Og vi er den første kommune i landet, der har indført den nye, automatiserede sporing. Selv om det er på en meget kedelig baggrund, kan vi konstatere, at vores nye sikkerhedssystem virker, siger Lars Harder. 

Som en ekstra foranstaltning har kommunen også installeret en advarselsbjælke i SAPA-systemet, som dukker op, når medarbejderne søger adgang i sager med personfølsomme oplysninger. Det skal være med til at forebygge, at noget tilsvarende sker fremover.