En ellers smart it-løsning skulle give mulighed for, at lederne i Københavns Kommune og deres eventuelle stedfortrædere kunne få indblik i medarbejdernes personalesager.
Men det var ikke alt, hvad lederne kunne se, skriver Københavns Kommune i en pressemeddelelse.
I en periode på to måneder havde ledere og stedfortrædere nemlig også "utilsigtet adgang" til privat borgeroplysninger for de medarbejdere, som også er eller var borgere i Københavns Kommune, da fejlen fandt sted.
I pressemeddelelsen understreger Københavns Kommune, at både ledere og medarbejdere er pålagt tavshedspligt om fortrolige oplysninger.
Over 200 opslag i it-system skal granskes
Kommunen har nu underrettet 92 medarbejdere og 26 trejdeparter, som har været ofre for bruddet på it-sikkerheden. En trejdepart skal forstås som en person, hvis navn er nævnt i ét af de dokumenter, der er set på - for eksempel en vielsesattest, forklarer kommunen.
I alt 206 opslag i systemet skal nu granskes nøje for, hvorvidt nogen har udnyttet fejlen i systemet.
- Det er meget vigtigt for os, at man kan være tryg ved den måde, vi håndterer persondata på. I dette tilfælde har vi ikke levet op til vores ansvar – det er alvorligt, og det beklager vi.
- Vi skal være bedre til at teste de løsninger, vi sætter i søen, så vi undgår sådan noget som det her. Og vores ledere og medarbejdere skal være endnu skarpere på, hvad de må og ikke må i forhold til persondata, lyder det fra Ivan Kristoffersen, der er direktør i Københavns Kommunes Koncernservice.
Blev opdaget ved en tilfældighed
Fejlen blev opdaget den 6. juni 2019 - men der havde muligheden for at se for mange oplysninger på de ansatte allerede eksisteret i flere måneder.
Ifølge kommunen opstod fejlen den 29. marts 2019. Dagen efter blev it-løsningen lukket ned, og sagen blev indmeldt til Datatilsynet.
Fakta om sagen
- Fejlen bestod i, at en medarbejders personaleleder og eventuel stedfortræder har haft adgang til eventuelle oplysninger, som ikke vedrører ansættelsesforholdet, hvis medarbejderne var eller er borger i Københavns Kommune. Der er tale om oplysninger af privat karakter.
- Fejlen omfatter i alt 92 medarbejdere, som er eller har været borgere i Københavns Kommune og 26 tredjeparter, hvis navn har været nævnt i ét eller flere dokumenter.
- Alle ledere og stedfortrædere har tavshedspligt – også vedrørende oplysninger de uretmæssigt måtte have tilegnet sig.
- I perioden med sikkerhedsbruddet blev der registreret i alt 10.000 opslag i den pågældende it-løsning, men kun i 206 tilfælde kiggede 80 ledere og stedfortrædere på et dokument med en medarbejders private borgeroplysninger.
- Fejlen er indberettet til Datatilsynet.
- I alt 92 nuværende eller tidligere medarbejdere i kommunen og 26 tredjeparter er blevet berørt. De er alle informerede om sagen i tråd med reglerne fra Datatilsynet.
- Københavns Kommune har i en årrække haft fokus på at sikre, at alle medarbejdere og ledere kender reglerne for beskyttelse af persondata. Det er sket gennem målrettede og obligatoriske e-læringskurser om beskyttelse af persondata, der har været tilpasset kommunens forskellige leder- og medarbejdergrupper samt gennem ansættelsesbreve og lederuddannelse.
- Københavns Kommune gennemførte i 2018 en kampagne om it-sikkerhed og beskyttelse af persondata på tværs af kommunen. Den bestod af en kommunikationskampagne og e-læring.
- Alle kommunens 45.000 medarbejdere modtog i forbindelse med kampagnen i 2018 i større eller mindre grad (afhængig af deres arbejdsopgaver) undervisning i beskyttelse af persondata og it-sikkerhed.
- Alle nyansatte i Københavns Kommune har pligt til at sætte sig ind i reglerne for korrekt opbevaring af og håndtering af dokumenter og får mulighed for at tilgå den eksisterende e-læringsuddannelse – det oplyses de om i ansættelsesbrevet.
Ivan Kristoffersen erkender, at de ansatte fortsat ikke klædt godt nok på til at forvalte den interne it-sikkerhedspolitik "og agere i tråd med det".
- Vi har gennemført interne kampagner, e-læring og uddannelse for vores 45.000 ledere og medarbejdere, men vi må konstatere, at vi ikke helt er i mål endnu, siger han.
