Ét forkert klik fra en uopmærksom medarbejder: Sendte 13.000 skolebørns CPR-numre uden kryptering

Del på facebook
Del på twitter
Del på linkedin
Datatilsynet har netop udtalt alvorlig kritik af Silkeborg Kommune, som ikke havde passende sikkerhedsforanstaltninger. Kommunen sendte fortrolige og følsomme oplysninger på 13.000 skolebørn i en ukrypteret mail.

Datatilsynet udtaler i denne omgang alvorlig kritik af Silkeborg Kommune, som i en e-mail har sendt 12.915 skoleelevers CPR-numre, skolenavne og skolekoder uden kryptering til Dansk Statistik.
E-mailen er sendt af en medarbejder, der kendte til retningslinjerne for at sende e-mails sikkert, men som kom til at sende e-mailen usikkert ved at trykke på den forkerte knap, skriver tilsynet.

Alvoren bliver naturligvis ikke mindre, når bruddet gælder persondatasikkerheden for børn. Og hvis den ansvarlige medarbejder havde sendt med kommunens daværende krypteringsniveau (TLS 1.1), havde sikkerheden faktisk ikke været godkendt. Når der sendes så store mængder følsomme oplysninger, skal man nemlig end-to-end-kryptere – altså ikke kun transportlaget (TLS), men selve e-mailens indhold.

Et eksempel på menneskelige fejl

Afgørelsen fra Datatilsynet er et klokkeklart eksempel på datasikkerhedens største trussel; de menneskelige fejl. Vi har ind til nu afholdt to webinarer om netop de menneskelige fejl – de udgør nemlig ikke mindre, end 52% af alle indberetninger til Datatilsynet, så der er plads til forbedring på netop dette område:

Med de nye opdateringer til RMail i Outlook, bliver det langt nemmere at minimere menneskelige fejl – dem har vi afholdt et webinar om, som du kan se lige her.
Se webinaret, hvor Johan og Jonas gennemgår de hjælpsomme funktioner, som bl.a. indebærer en reminder om kryptering, hvis du sender følsomt indhold afsted.

Se eller gense vores webinar, hvor vi inviterede databeskyttelsesrådgiver, Anna Lykke Lundholm-Andersen, og Danske Advokaters digitaliseringschef, Steen Hermansen, til en snak om GDPR og menneskelige fejl. Hvad gør vi, når vores fine politikker og systemer ikke er en garanti for GDPR-compliance?

Om samme emne