Alvorlig fejl: 587 cpr-numre lækket
Ringsted Kommunes skolecenter har skrevet et brev til forældrene, hvis børn har været udsat for at deres cpr-numre er blevet lækket på kommunens hjemmeside
Der er tale om hele 578 unge, der har fået deres cpr-numre offentliggjort, som et bilag til et dagsordenspunkt i kommunens Børne- og Ungeudvalg.
Bilaget med cpr-numrene var et tillæg til en oversigt over unge i kommunes uddannelsesvalg. Det skriver Ekstra Bladet.
Ovennævnte bilag er blevet offentliggjort på hjemmesiden den 14. april 2020, og har siden der været frit tilgængeligt for alle frem til den 23. oktober 2020, hvor den alvorlige fejl blev opdaget, ved at en automatisk robot, screenede kommunens hjemmeside.
I bilaget lå cpr-numrene i et ekstra faneblad i et Excel-ark, oplyses det.
Skolecenterchefen Jesper Ulrich oplyser, at man fremadrettet vil konvertere regnearkene om til PDF, og på den måde vil samme fejl ikke kunne opstå igen.
Læs hele brevet her nedenfor til de i alt 587 unges forældre:
Underretning om brud på datasikkerheden
Vi har den 23. oktober 2020 i forbindelse med en sikkerhedsscanning af vores hjemmeside opdaget, at der i et bilag (et regneark) til et dagsordenspunkt omhandlende unges uddannelsesvalg, i tillæg til oversigten over unges samlede uddannelsesvalg, har været et andet faneblad, hvor cpr.nr. og navn på 578 skoleelever i Ringsted Kommune fremgik. Vi har, straks da vi opdagede fejlen, orienteret de berørte borgere via brev i E-Boks.
Vi har nu fundet frem til de berørte unge menneskers forældre. Du modtager derfor denne orientering om bruddet, så du har mulighed for at tage de nødvendige forholdsregler sammen med dit barn for at undgå eller begrænse konsekvenserne af bruddet.
Ringsted Kommune har i forbindelse med en sikkerhedsscanning af kommunens hjemmeside konstateret et sikkerhedsbrud. Det betyder, at cpr.nr på dit barn (NAVN SLETTET, red.) har ligget offentligt tilgængeligt på Ringsted Kommunes hjemmeside. Alle cpr.nr er fjernet fra hjemmesiden fredag, den 23. oktober 2020.
Dagsordenspunktet med bilag er behandlet i Børne- og Undervisningsudvalget henholdsvis den 20. april og den 18. maj, i Økonomiudvalget den 2. juni og i Byrådet den 8. juni.
Excel-arket har altså været tilgængeligt siden 14. april 2020 og frem til den 23. oktober 2020, hvor arket er blevet slettet straks, da vi opdagede at bilaget indeholdt et faneblad med cpr. numre.
Vi har kunnet konstatere, at det pågældende excel-ark er åbnet fra flere forskellige IP-adresser i denne periode. Cpr-numrene har ikke været synlige ved almindelig gennemlæsning af sagen.
Der er tale om et meget alvorligt brud på sikkerheden. En af konsekvenserne ved, at dit barns cpr.nr. har været tilgængeligt kan være, at det bliver misbrugt.
Vi vil bede dig være opmærksom på, om dit barns cpr.nr. bliver brugt uberettiget. Dette kan i værste fald være i forbindelse med identitetstyveri eller lignende. Du kan læse mere om identitetstyveri på Borger.dk via disse links
https://www.borger.dk/internet-og-sikkerhed/Identitetstyveri/Hvad-er-identitetstyveri
https://www.borger.dk/internet-og-sikkerhed/Identitetstyveri/Offer-for-identitetstyveri
Hvis du har mistanke om, at dit barns cpr. nr er blevet misbrugt skal du kontakte politiet.
Vi beklager dybt, at oplysningerne blev gjort tilgængelige til at starte med og arbejder på at sikre, at det ikke sker igen. Hvis du har spørgsmål, er du velkomme til at kontakte skolechef Jesper Ulrich på skolecenter@ringsted.dk eller 41 72 25 35. Ligesom du kan kontakte Ringsted Kommunes databeskyttelsesrådgiver på dpo.ringsted@bechbruun.com eller tlf. nr. 72 27 30 02.
Som nævnt ovenfor har vi sendt et brev direkte til dit barn om dette sikkerhedsbrud. Dog fremgår det i brevet, at dagsordenspunktet var tilgængeligt fra den 21. april 2020, men den rigtige dato er den 14. april 2020, som skrevet her i dette brev.
Med venlig hilsen
Jesper Ulrich
Skolecenterchef
Foto: Shutterstock
Kilde: Ekstra Bladet