Det var en anden styrelse, der ved et tilfælde opdagede det databrud hos Forsvarsministeriets Personalestyrelse, som i alt 34.000 nuværende og tidligere medarbejdere i Forsvaret i sidste uge blev informeret om. Personalestyrelsen kalder databruddet begrænset, men iværksætter nu forebyggende tiltag for at undgå gentagelser.

Titusindevis af personnumre og flere andre personlige oplysninger om nuværende og tidligere ansatte i Forsvaret har i flere år ligget tilgængelig for uvedkommende på Forsvarets Integrerede Informatik Netværk (FIIN). Det bekræfter Forsvarsministeriets Personalestyrelse (FPS) i et såkaldt myndighedssvar til OLFI, som har spurgt ind til databruddets omfang.

»Databruddet, der skete på vores interne klassificerede netværk og ikke har været tilgængeligt via intranettets menustruktur, omfatter ca. 34.000 tidligere og nuværende medarbejdere, værnepligtige og militærnægtere,« fremgår det blandt andet af svaret.

Styrelsen forklarer videre, at de mange personoplysninger har været brugt i forbindelse med et projekt, som skulle effektivisere og sikre funktionaliteten i et fremtidigt HR-system til håndtering af ændringer i løn- og ansættelsesforhold, og at udtrækket var testdata til dette system. Selvom de mange personfølsomme oplysninger har ligget frit tilgængelig for Forsvarets mange tusinde FIIN-brugere, er det dog formentlig få eller ingen uvedkommende, der er lykkedes med at finde frem til oplysningerne, skriver styrelsen:

»De oplysninger, vi har fra log-on siden januar 2019, viser, at kun fire ansatte har været inde på sitet, og at det var i tjenstligt ærinde.«

Opdaget ved en tilfældighed af anden styrelse

Databruddet er opstået på baggrund af en menneskelig fejl, som ligger mere end en håndfuld år tilbage i tiden. I den mellemliggende periode har ingen i FPS været opmærksomme på, at siden med excelarket og de mange personfølsomme oplysninger fortsat eksisterede og var online.

»I forbindelse med et arbejdsgruppeprojekt, der foregik på tværs af myndigheder, hvor man ikke har adgang til hinandens journalsystemer, blev der lagt et excelark med personlysninger på et såkaldt teamsite, der blev oprettet på vores intranet uden adgangsbegrænsning. Da arbejdsgruppen blev nedlagt, blev arket ikke samtidig slettet, hvilket også er en fejl,« skriver FPS.

»En anden styrelse gjorde os opmærksom på fejlen, som de havde fundet ved en tilfældighed. SharePoint-sitet bliver ikke benyttet længere, og den afdeling som benyttede sitet er også nedlagt, så der var ikke opmærksomhed på sitet, som heller ikke er tilgængeligt via den almindelige menustruktur på vores klassificerede interne netværk.«

Da FPS var gjort opmærksom på sagen, blev Datatilsynet i overensstemmelse med dets egne anbefalinger varskoet indenfor 72 timer, ligesom FPS hurtigt lukkede for uvedkommendes adgang til den pågældende side.

»Da FPS den 26. august 2021 blev opmærksom på, at Excel-arket lå på intranettet, blev sitet omgående begrænset til kun én person i FPS for at kunne udrede sagen yderligere. Når udredningen er afsluttet, vil alle dine personoplysninger blive slettet fra teamsitet,« skriver FPS i sit brev til samtlige 34.000 berørte.

Iværksætter forebyggende tiltag

Selvom databruddet efter alt at dømme ikke har haft alvorlige konsekvenser, bliver sagen taget alvorligt i FPS.

»Da vi opdagede det interne databrud, satte vi en grundig undersøgelse i gang, blandt andet for at kunne vurdere risikoen for de registrerede. Undersøgelsen indbefatter bl.a. gennemsøgning af arkiver, indhentning af logfiler og indhentning af udsagn fra medarbejdere, der havde tilgået filen. Vores vurdering er, at risikoen ved databruddet er begrænset. Ud fra en forsigtighedsbetragtning, og for at være gennemsigtige overfor de berørte personer, valgte vi dog at underrette de registrerede. I sidste uge satte vi derfor processen med orientering af de berørte i gang. Orienteringen indeholder en nærmere beskrivelse af selve bruddet, vores risikovurdering, og hvilke tiltag vi har sat i gang for at undgå gentagelser.«

Samtidig bedyrer styrelsen, at man nu vil sørge for, at sagen ikke gentager sig.

»Vi har iværksat flere forebyggende tiltag, herunder fx en awarenesskampagne i vores interne nyhedsbrev. Når man i dag opretter et teamsite, modtager den der opretter teamsitet en mail om, hvad teamsitet må bruges til – også ift. GDPR-oplysninger. Den praksis var ikke indført i 2015. Vi arbejder desuden på, at teamsites, som sagsbehandlere på tværs af ministerområdet selv kan oprette, fremover automatisk vil have adgangsbegrænsning medmindre sagsbehandleren aktivt fravælger det,« skriver FPS.