Udvalg: Økonomi- og Erhvervsudvalget
Mødedato: 17. juni 2019
Mødested: "Broen" - A1.158

Dagsordenpunkter

198. Sikkerhedsbrud

Sagsnr.: 85.10.13-K07-1-19 Sagsbehandler: Carina Roskilde  

Sikkerhedsbrud

DIR

FOU

BFU

SOS

BSK

KFU

BYP

TMU

ØKE   x

BYR

 

 

 

 

 

 

 

 

 

 

 

Øvrige sagsbehandlere: - Poul Venø

Sagsresume

Oversigt over sikkerhedshændelser omhandlende personoplysninger, herunder redegørelse for to store brud samt tiltag, der skal minimere risikoen for sikkerhedshændelser.

Sagsfremstilling

I perioden maj 2018 til maj 2019 har der været 19 potentielle brud på persondatasikkerheden i Herning Kommune. I 10 af tilfældene har DPO’en vurderet, at sagerne skal indberettes til Datatilsynet.

 

DPO står for Data Protection Officer og er en stilling, vi som kommune er forpligtet til at have. DPO´en agerer som uafhængig rådgiver for kommunen i forbindelse med persondataforordning og databeskyttelsesloven. DPO’en er desuden inde over alle sikkerhedshændelser med persondata og er i den forbindelse kommunens bindeled til Datatilsynet.

 

På nationalt niveau har Datatilsynet registreret 2780 brud på persondatasikkerheden i 2018. De oplyser, at 705 af registreringerne kommer fra kommunerne, og at 2 ud af 3 indberetninger var forkert modtager altså menneskelig fejl og 5% skyldes Hacker angreb, phishing eller lign.

 

Kort fortalt om de 19 hændelser

De 9 ikke-indberettede hændelser rummer typisk fejl, som er rettet, før de er blevet udnyttet. Der er også tilfælde, hvor fagpersoner har fået adgang til data, de ikke skulle have adgang til. Størsteparten af disse hændelser er menneskelige fejl.

 

Fælles for de 10 indberettede fejl er, at de for langt størsteparten er opstået hos en leverandør enten som en menneskeligfejl, hackerangreb eller systemfejl.

 

Blandt periodens indberettede hændelser er der særligt to, der springer i øjnene, fordi mange borgere har været berørte.

 

Tilfælde 1

Sikkerhedsbruddet blev opdaget i begyndelsen af 2019. Fejlen havde eksisteret siden november 2018.

 

Kort fortalt har en hacker sikret sig adgang til en mailindbakke hos en ekstern leverandør. Indbakken blev brugt af kommunen i forbindelse med fejl i økonomisystemet. I Indbakken har hackeren haft adgang til screendumps og filer med ca. 6000 borgeres oplysninger.

 

Efter en grundig gennemgang stod det klart, at der lå CPR-numre og personlige oplysninger på ca. 5300 nulevende unikke borgere. Datatilsynet har ikke kommenteret på sagen endnu.

 

Tilfælde 2

I Tilfælde 2 er der tale om en menneskelig fejl i en konsulentvirksomhed, som hjalp Herning Kommune i forbindelse med skift af omsorgssystem.

 

Fejlen blev opdaget af en ekstern uvildig person via en scanning. Personen kontaktede Datatilsynet, der kontaktede konsulentvirksomhed, som kontaktede os.

 

Fejlen var, at der var adgang til et dokument med CPR-numre, stillingsbetegnelse samt til- og fratrædelsesdato på 1779 medarbejdere. Der var også dokumenter der tilsammen indeholdt datasæt med CPR-numre, dato for behandling og behandlingsbeskrivelse på 3073 borgere. Informationen om borgerne var dog opstillet i brudstykker og kræver programmet ”Oracle” og særlig viden for at kunne læse.

 

Denne sag fik stor mediedækning og omtale, da en fra medarbejderlisten valgte at dele sit brev med EkstraBladet.

 

Datatilsynet var på banen med det samme denne gang, og vi har sendt to høringssvar tilbage til Datatilsynet med diverse dokumentation.

 

Fællestræk for hændelserne

Når der er tale om større hændelser, bliver der typisk brugt meget tid på at skabe overblik over situationen, og efterfølgende bliver der gjort en stor indsats for at kommunikere fyldestgørende og forståeligt ud til de berørte.

 

Vi ser også, at breve sjældent gør det alene, for der bliver også brugt mange ressourcer på at tale med bekymrede borgere. Vores DPO har modtaget mere end 225 opkald som følge af de to omtalte tilfælde. Også Omstillingen i Borgerservice har været presset i tiden efter, vi har sendt breve ud.  

 

Tiltag (igangværende oprustning)

 

At gøre Herning Kommune compliant i forhold til GDPR kræver ressourcer fra alle afdelinger og indebærer et betydeligt ressourcetræk.

 

·         Vi skal sikre en løbende påklædning af alle der tilhører Herning Kommune, sikre kompetencer hos medarbejder indenfor behandling, der svarer til den behandling de foretager.

·         Øget fokus og opmærksomhed på lovlig og forsvarlig behandling af data samt hvad man gør hvis det går galt.

·         Påklædning af ledere omkring rolle, opgave og ansvar i forhold til databehandling/sikkerhed.

·         Vi skal sikre vores grundlag (forsvarsfil) til datatilsynet, herunder fortegnelser og risikovurderinger på samtlige behandlingsaktiviteter.

 

Hvad kan vi gøre for at sikre lignende ikke sker igen

·         Øget fokus på at proceduren for indkøb af nye systemer overholdes, så der sikres databeskyttelse by design, og på forudgående undersøgelse inden nye kontrakter/databehandleraftaler indgås

·         Sikre at der tænkes databeskyttelse og risikobaseret tilgang ind ved nye behandlingsaktiviteter også ikke IT-behandlinger, dvs interne arbejdsgange.

·         Udnytte mulighed for at overvåge hvilke domæner (hjemmesider) leverandørerne bruger. Denne løsning sikrer ikke at det ikke sker, men at det er os der opdager det og hurtigt.

·         Øget fokus på klar og forståelig kommunikation til borgere både på forkant og hvis brud opstår.

·         Nuværende backup af mail og kalender tager i dag 2-3 dage at indlæse igen. Det anbefales at udskifte dette software, som giver mulighed for at kunne indlæse mails, kalender mv. indenfor 12 timer.

 

Økonomi

Nyt system til back up løsning vil beløbe sig til ca. 0,25 mio. kr.

 

Indstilling

Underdirektøren for Direktionens Stab indstiller

at orientering tages til efterretning  
at den anførte udgift til back up godkendes.
Underdirektøren for Direktionens Stab indstiller

Beslutning

Indstillingen er tiltrådt.

 

Poul Venø deltog under behandlingen af punktet.

Bilag

  • Sikkerhedshændelser Herning Kommune bilag 1