Fortrolige og kompromitterende oplysninger om borgere er adskillige gange faldet i de forkerte hænder i den største kommune på den københavnske vestegn.
Fra april og til og med september har Gladsaxe Kommune registreret 23 såkaldte sikkerhedshændelser. Fire af dem er så alvorlige, at de er blevet anmeldt til Datatilsynet, fremgår det af en skriftlig orientering til Økonomiudvalget i Gladsaxe Kommune.
»Hver eneste fejl er en fejl for meget,« siger borgmester Trine Græse (S) til B.T.
En sikkerhedshændelse skal anmeldes til Datatilsynet, når det ikke kan anses for usandsynligt, at bruddet på persondatasikkerheden vil indebære en risiko for borgernes rettigheder.
Det skete blandt andet for en mor og hendes barn.
En sagsbehandler kom ved en fejl til at sende kvinden og hendes barns adresseoplysninger til barnets far, selvom de har beskyttet adresse og ikke ønsker kontakt med faren.
Hændelsen fandt sted 30. Juli, men blev først registreret af kommunen fire dage senere, den 3. august. Kommunen vurderer, at det ikke er 'usandsynligt, at hændelsen vil medføre konsekvenser for moren og hendes barn.'
'Moderen er opfordret til at kontakte politiet, hvis familien opsøges. Politiet er kontaktet, så de er opmærksomme på hurtig reaktion, hvis moren kontakter dem ved bekymrende adfærd fra faderen. Moren tilbydes daglig kontakt og opfølgning fra sagsbehandler for at følge eventuelle henvendelser fra far og eventuelle bekymringer, der kræver yderligere handling,' lyder det i orienteringen.
Kommunen angiver, at hændelsen skyldtes en 'menneskelig fejl', der opstod i forbindelse med en aktindsigt.
Det oplyses yderligere, at sagen har givet anledning til, at Gladsaxe Kommune 'mere generelt' vil vurdere, om deres sagssystem tydeligere kan markere, når der er tale om en borger med beskyttet adresse.
Datatilsynet har ikke på nuværende tidspunkt meldt tilbage om anmeldelsen, og det er heller ikke den eneste opsigtsvækkende sag, der fortsat mangler en endelig afgørelse fra Datatilsynet.
12. juli udspillede der sig en hændelse på et bosted for handicappede, hvor en ansat filmede en af beboerne, der var i færd med at bade.
Filmsekvensen skulle medarbejderen bruge til faglig sparring om borgeren med bostedets seksuelle vejleder. Men medarbejderen endte med at begå graverende fejl.
Medarbejderen havde således aftalt med den seksuelle vejleder, at badesituation med den handicappede borger skulle filmes med en af bostedets iPads. Men medarbejderen brugte i stedet sin egen private mobiltelefon til at optage borgeren i badet.
Da filmsekvensen efterfølgende blev tilført borgerens sag, var bostedet ikke opmærksom på, at optagelsen fortsat lå i medarbejderens iCloud. Og her blev den efterfølgende set af en 'uvedkommende person', står der i orienteringen.
Det oplyses ikke, hvem den uvedkommende person var, men eftersom der vurderes at være tale om en optagelse af en borger i en sårbar situation, har Gladsaxe Kommune valgt at anmelde sagen til Datatilsynet.
'Det vurderes ikke usandsynligt, at hændelsen medfører konsekvenser for den berørte i form af tab af fortrolighed, da videoen er set af en anden borger,' lyder det i orienteringen.
Her oplyses det yderligere, at medarbejderen nulstillede sin iCloud allerede dagen efter, 13. juli, men at sagen først kom til kommunens kendskab 21. juli – altså ni dage efter, beboeren var blevet filmet i badet.
Kommunen vurderer, at hændelsen skyldes både en 'menneskelig fejl' og 'overtrædelse af interne retningslinjer', og kommunen har siden da arbejdet med at implementere et finsk softwareprogram ved navn Dream Broker, der skal strømline videokommunikationen i Gladsaxes handicaptilbud. Dertil er der udarbejdet en vejledning om billeder og video, som også er under implementering.
Det er ikke første gang, at Gladsaxe Kommune har fået ørerne i maskinen som følge af skødeløs behandling af borgernes fortrolige oplysninger.
I slutningen af 2018 blev der stjålet fire bærbare computere under et indbrud på Gladsaxes rådhus, og på den ene bærbare lå der gemt et regneark med cpr-numre og andre fortrolige data på 20.000 borgere, hvilket svarer til cirka hver tredje borger i Gladsaxe Kommune.
Siden da fulgte også flere andre sager om datalæk af cpr-numre fra borgere i Gladsaxe, hvilket medførte, at Økonomiudvalget i februar 2019 besluttede, at de fremadrettet skulle forelægges halvårlige, offentligt tilgængelige redegørelser med status på kommunens arbejde med informationssikkerheden samt en orientering om antallet af sikkerhedshændelser og indberetninger til Datatilsynet.
B.T. har bedt Gladsaxes borgmester, Trine Græse (S), forholde sig til den seneste række af sager, hvor borgeres fortrolige oplysninger er havnet i de forkerte hænder.
Hun lægger sig fladt ned og undskylder på kommunens vegne.
»Her har vi bare ikke gjort det godt nok. Det er en katastrofe for sådan en mor og hendes børn,« siger Trine Græse med henvisning til sagen om adressebeskyttelse, der blev brudt af kommunens egen sagsbehandler.
»Derfor arbejder vi nu på at få tilpasset vores systemer, så de tydeligt advarer, hvis medarbejdere er ved at sende post til en person med en beskyttet adresse,« tilføjer borgmesteren.
For så vidt sagen om filmsekvensen med den badende, handicappede bostedsbeboer, er Trine Græse heller ikke i tvivl. Retningslinjerne for medarbejderne på kommunens handicaptilbud er klokkeklare, og der er derfor heller ingen formildende omstændigheder i den sag.
»Hvad angår at filme til dokumentation med sit eget kamera, så har vi både klare retningslinjer for, at det må man ikke, og systemer, som kan håndtere at filme til dokumentation i et beskyttet datamiljø. Så her er der ingen undskyldning. Det må bare ikke ske,« siger borgmesteren.
Hun kan dog trøste sig med, at de 23 registrerede sikkerhedshændelser fra sidste halvår er et markant fald sammenlignet med halvåret forinden. Her var der 58 sikkerhedshændelser, hvoraf otte blev anmeldt til Datatilsynet. Og i forrige halvår var antallet anmeldelser ti.
»I byrådet har vi valgt at bruge rigtig mange ressourcer på at beskytte borgernes data og forebygge fejl. Når uheldet er ude, så håndterer vi hver enkelt fejl individuelt med det mål, det ikke kommer til at ske igen,« siger Trine Græse.
Tal fra Datatilsynet viser, at der samlet i perioden fra uge 1 i 2020 og til og med uge 39 i 2021 er indberettet 3.606 sikkerhedsbrud i landets 98 kommuner. Det svarer til cirka 37 sikkerhedsbrud pr. kommune i perioden.
Ifølge Gladsaxes borgmester har kommunen som den eneste valgt at lægge alle fejl åbent frem på sin hjemmeside.
»Desværre er det ikke muligt helt at undgå fejl i en kommune med 7.000 medarbejdere, hvoraf mange arbejder med personsager hver eneste dag. Men vi følger individuelt op på alle fejl med det mål, at vi skal lære af dem, så de ikke sker igen. Og det glæder mig, at antallet af fejl er faldende, siger Trine Græse.
