Underretning om brud på persondatasikkerheden i Udlændinge- og Integrationsministeriet hos ekstern leverandør

15-01-2021

Underretning til borgere om, at der har været et brud på persondatasikkerheden i Udlændinge og Integrationsministeriet, hvor ansatte hos Udlændinge- og Integrationsministeriets leverandør af flere it-systemer, utilsigtet har haft adgang til persondata. Bruddet er anmeldt til Datatilsynet.

Udlændinge- og Integrationsministeriet skal hermed informere  offentligheden om, at der har været et brud på persondatasikkerheden, hvor ansatte hos en ekstern leverandør af flere it-systemer på udlændingeområdet, utilsigtet har haft adgang til persondata. Udlændinge- og Integrationsministeriet har ingen indikationer på, at adgangen til de pågældende persondata har været forsøgt udnyttet, men det kan ikke udelukkes. Personoplysninger har på intet tidspunkt været tilgængelige for personer uden for leverandøren eller ministeriet

En del af bruddet har omfattet et større antal af skærmbilleder fra sager indeholdende personoplysninger, hvor ansatte hos leverandøren har haft adgang hertil. Der har alene været adgang til oplysninger i et udtræk af leverandørens it-system, og dermed ikke generel adgang til data i Udlændinge- og Integrationsministeriets it-systemer. Der er en lav sandsynlighed for, at uautoriserede ansatte hos leverandøren har set de pågældende personoplysninger, fordi det kræver præcis og specifik viden om personoplysningernes placering for at få adgang hertil.

Der har efterfølgende været igangsat en række supplerende undersøgelser af filmapper og data hos leverandøren. På denne baggrund kan Udlændinge- og Integrationsministeriet konkludere, at det ikke er muligt at afklare det præcise antal af borgere, der er berørt af bruddet, eller det specifikke antal af personoplysninger, der indgår i bruddet. En sådan afklaring vil kræve en manuel gennemgang og sammenligning af hver enkelt datafil og således medføre en uforholdsmæssigt stor indsats.

Denne offentlige underretning foretages således efter et forsigtighedsprincip, hvor der sker underretning til alle borgere, som potentielt kan være omfattet af bruddet.

Anmeldelse til Datatilsynet og underretning af borgerne

Hændelsen skyldes, at der i it-systemer hos en ekstern IT-leverandør på udlændinge området har været registreret et større antal personpersonoplysninger, som har været tilgængeligt for ansatte hos leverandøren uden tilstrækkelig adgangsstyring eller med den fornødne sikkerhedsgodkendelse. Personoplysningerne er efterfølgende slettet eller flyttet til et lukket site, som alene er tilgængelig for få ansatte hos leverandøren.

Leverandøren rettede henvendelse til Udlændinge- og Integrationsministeriets Koncern It den 18. august 2020, hvorefter bruddet samme dag blev konstateret, og der påbegyndtes afklaring vedrørende adgangsbegrænsning på mapperne.

Fejlen blev anmeldt til Datatilsynet den 19. august 2020. Anmeldelsen skete således inden for den gældende frist på 72 timer, efter ministeriet blev bekendt med bruddet. Med efterfølgende opdateringer i sagen, blev bruddet afsluttet og endeligt indberettet til Datatilsynet den 9. november 2020.

Mulige konsekvenser for den enkelte borger

De pågældende skærmbilleder indeholdt eksempelvis personnummer eller udlændingenummer, oplysninger om etnicitet eller beskæftigelse.

Udlændinge- og Integrationsministeriet opfordrer derfor borgere til at være opmærksomme på, om de har mistanke om, at deres personoplysninger er blevet misbrugt. Dette kan for eksempel være i tilfælde, hvor man som borger kontaktes af personer, der har oplysninger om ens udlændingesag. Hvis dette sker, skal borgeren straks kontakte Udlændinge- og Integrationsministeriet samt politiet.

Det bemærkes, at alle medarbejdere i den offentlige forvaltning er underlagt tavshedspligt jf. forvaltningslovens § 27. I tilfælde af, at en medarbejdere har udnyttet den åbne adgang til filmapperne og overtrådt sin tavshedspligt, kan personen straffes. Ligeså er der kontraktuel tavshedspligt i leverandørforholdet.

Hvis du har spørgsmål

Kontaktoplysninger på Udlændinge- og Integrationsministeriets DPO

Du kan også kontakte Udlændinge- og Integrationsministeriets databeskyttelsesrådgiver: