I september kom det frem, at Aarhus Kommune har lækket navne, adresser og personnumre på flere tusinde borgere.

Og nu viser en ny redegørelse præcis, hvor mange personer lækket er gået ud over.

Det drejer sig om mindst 4.543 CPR-numre, der har ligget offentligt tilgængeligt i perioden fra 21. juni 2021 til 14. september 2021.

Det skriver Aarhus Kommune i en pressemeddelelse.

»Det er uacceptabelt og alvorligt, at disse oplysninger har været offentligt tilgængelige. Jeg er meget ked af, at det har været tilfældet og vil gerne undskylde over for de berørte borgere,« siger Henrik Seiding, som er direktør i Teknik og Miljø i pressemeddelelsen og tilføjer:

»Vi har truffet beslutninger omkring MinEjendom uden tilstrækkelige risikovurderinger og med alt for stor letsindighed. Det må jeg bare beklage.«

Ifølge Henrik Seiding betyder sagen blandt andet, at der vil blive foretaget en række tjenstlige samtaler med de personer, som var med til at træffe beslutningerne omkring den kritisable åbning af systemet.

MinEjendom, der er Aarhus Kommunes offentligt tilgængelige byggesagsarkiv, har været lukket siden den 14. september, hvor det blev konstateret, at der havde været et større brud på persondatasikkerheden.

En indledende redegørelse klarlægger nu omfanget af bruddet.

Redegørelsen konkluderer, at de mange CPR-numre og følsomme personoplysninger er gjort tilgængelige på MinEjendom i forbindelse med frigivelsen af en større datamængde, der blev gjort tilgængelig på løsningen 21. juni 2021.

Hidtil var alle 10 millioner filer i systemet lukkede, med mindre de maskinelt eller manuelt var gennemgået og tjekket for personlige oplysninger. Standarden var altså, at dokumenterne var lukkede, medmindre nogen åbnede op for dem.

21. juni blev der truffet beslutning om, at en datamængde på omkring 3 millioner dokumenter i 105.000 digitale byggesager i arkivet skulle være åbne som standard.

Man baserede derfor alene persondatasikkerheden på et program, som automatisk søgte på konkrete nøgleord i dokumenttitlerne, som kunne indikere, at et dokument indeholdt fortrolige oplysninger.

Resten af filerne blev gjort tilgængelige. I alt blev der lukket 770.000 filer.

Baggrunden for den beslutning var, at der blev brugt ressourcer hos borgere og i byggesagsafdelingen i Teknik og Miljø på at få adgang til dokumenterne manuelt.

Det har imidlertid vist sig, at arbejdsmetoden med søgeord og udtagning af særlige filer slet ikke var tilstrækkeligt for at sikre datasikkerheden.

Som udløber af den indledende redegørelse, vil der den kommende tid blive foretaget yderligere undersøgelser af sagsforløbet og de retningslinjer, som Aarhus Kommune arbejder efter i forhold til IT-sikkerhed.

En endelig redegørelse forventes at foreligge inden årets udgang.