Underretning til borgere om brud på persondatasikkerheden i Udlændinge- og Integrationsministeriet i et af ministeriets sagsbehandlingssystemer. Bruddet vedrører risiko for uautoriseret adgang til personoplysninger i tre mapper på Udlændinge- og Integrationsministeriets interne netværksdrev. Bruddet er anmeldt til Datatilsynet.
Bruddet på persondatasikkerheden blev opdaget efter henvendelse fra Udlændingestyrelsen. Opfølgning på henvendelsen viste, at der på Udlændinge- og Integrationsministeriets interne netværksdrev har været en række filmapper uden tilstrækkelig adgangsbegrænsning. Mapperne på netværksdrevene indeholdt almindelige personoplysninger, fortrolige personoplysninger og følsomme personoplysninger. Fejlen, der har forårsaget bruddet, er opstået i forbindelsen med overgangen fra et gammelt sagsbehandlingssystem til et nyt ultimo januar 2020. Alle mapperne har nu fået den korrekte adgangsbegrænsning, således at det kun er de relevante medarbejdere i ministeriet, der kan tilgå mapperne. Bruddet er således stoppet.
Der er en lav sandsynlighed for, at uautoriserede ansatte hos Udlændinge- og Integrationsministeriet har set de pågældende personoplysninger, fordi det har krævet specifik viden om mappernes placering og særlige navne for at få finde mapperne, og adgangen har ikke været udstillet for medarbejdere i ministeriet. Alle medarbejdere i ministeriet har dog haft adgang til mapperne. Mapperne har på intet tidspunkt været tilgængelige for personer uden for ministeriet.
Udlændinge- og Integrationsministeriet har ingen indikationer på, at adgangen til de pågældende persondata har været forsøgt udnyttet, men det kan dog ikke udelukkes. Der har alene været adgang til oplysninger i mapperne og ikke en generel adgang til oplysninger i det tilhørende sagsbehandlingssystem. Det har derfor ikke været muligt at søge bredt på fx navn eller cpr-nummer for at finde personoplysninger om en konkret borger.
Udlændingestyrelsen rettede henvendelse til Udlændinge- og Integrationsministeriets Koncern It den 19. oktober 2020, hvorefter bruddet samme dag blev konstateret, og fejlen blev oplyst til systemets leverandør, der påbegyndte afklaring vedrørende adgangsbegrænsning på mapperne.
Fejlen blev anmeldt til Datatilsynet den 22. oktober 2020. Anmeldelsen skete således inden for den fastsatte frist på 72 timer, efter ministeriet blev bekendt med bruddet.
Adgangen til mapperne på det interne netværksdrev blev begrænset henholdsvis den 23. oktober 2020, den 27. oktober og endeligt den 2. november 2020.
Der har derudover været igangsat en række undersøgelser for at undersøge omfanget af bruddet samt udarbejde en plan for adgangsbegrænsning af mapperne. Det er dog ikke muligt for Udlændinge- og Integrationsministeriet at afklare det præcise antal registrerede, der er berørt af bruddet, eller det specifikke antal personoplysninger, der indgår i bruddet. En sådan afklaring vil give et uhensigtsmæssigt stort datagrundlag, der efterfølgende skal analyseres, hvilket vil medføre en uforholdsmæssigt stor indsats.
Risikoen for brud vurderes dog lav, da det har krævet en forhåndsviden og aktiv søgning efter den rigtige sti til filen. Der foretages derfor en offentlig underretning efter et forsigtighedsprincip, hvor der sker underretning til alle borgere, der potentielt kan være omfattet af bruddet.
Det er borgere, som indgår i et af Udlændinge- og Integrationsministeriets sagsbehandlingssystemer, der potentielt kan være omfattet af bruddet, da mapperne på netværksdrevet er knyttet til det pågældende it-system. It-systemet er udlændingemyndighedernes centrale sagsbehandlingssystem og benyttes til behandling af sager vedrørende udlændinges adgang til og ophold i Danmark. Det omfatter bl.a. sager om familiesammenføring, permanent opholdstilladelse og sager om arbejde, studie, au pair- og praktikophold.
De pågældende mapper på Udlændinge- og Integrationsministeriets netværksdrev indeholdt eksempelvis cpr-nummer eller udlændingenummer, oplysninger om etnicitet eller beskæftigelse.
Hvis en medarbejder uden grundlag har tilgået og efterfølgende udnyttet personoplysninger i en af filmapperne, kan de mulige konsekvenser for den enkelte borger eksempelvis være mistet kontrol over egne oplysninger samt identitetstyveri.
Udlændinge- og Integrationsministeriet opfordrer derfor borgere til at være opmærksomme på, om de har mistanke om, at deres personoplysninger er blevet misbrugt. Dette vedrører borgere, der har været registreret vedrørende en konkret udlændingesag, eller som har været reference i forhold til en sådan sag siden januar 2020. Misbrug af personoplysninger kan for eksempel være i tilfælde, hvor en borger kontaktes af personer, der har oplysninger om borgerens udlændingesag. Hvis dette sker, skal borgeren straks kontakte Udlændinge- og Integrationsministeriet samt politiet.
Det bemærkes, at alle medarbejdere i den offentlige forvaltning er underlagt tavshedspligt jf. forvaltningslovens § 27. I tilfælde af, at en medarbejdere har udnyttet den åbne adgang til filmapperne og overtrådt sin tavshedspligt, kan personen straffes.
Du kan også kontakte Udlændinge- og Integrationsministeriets databeskyttelsesrådgiver via dpo@uim.dk