Underretning om brud på datasikkerheden i Udlændinge- og Integrationsministeriet
25-06-2021Underretning til borgere om brud på persondatasikkerheden i Udlændinge- og Integrationsministeriet, Hjemrejsestyrelsen, Udlændingestyrelsen og Styrelsen for International Rekruttering og Integration.
Bruddet på persondatasikkerheden blev opdaget efter henvendelse fra leverandøren, der er en offentlig myndighed. Opfølgning på henvendelsen viste, at der ved en fejl ikke har været den rette adgangsbegrænsning, hvorefter nogle af leverandørens medarbejdere har haft mulighed for adgang til ministeriets og styrelsernes gamle backup, indeholdende almindelige personoplysninger, fortrolige personoplysninger og følsomme personoplysninger. Der har alene været adgang til personoplysninger på de gamle backups og ikke en generel adgang til personoplysninger i de tilhørende sagsbehandlingssystemer. Det har derfor ikke været muligt at søge bredt på fx navn eller cpr-nummer for at finde personoplysninger om en konkret borger. Det har desværre ikke været muligt at fastslå, hvornår fejlen i adgangsstyringen er sket. Den korrekte adgangsbegrænsning er tildelt ministeriets og styrelsernes gamle backups, og bruddet er således stoppet. Da der er tale om gamle backups, vil disse blive slettet, når sagen er afsluttet hos Datatilsynet.
Anmeldelse til Datatilsynet og underretning af borgerne
Leverandøren rettede henvendelse til Udlændinge- og Integrationsministeriets Koncern It den 11. februar 2021, hvorefter bruddet samme dag blev konstateret, og den uautoriserede adgang til ministeriets gamle backups blev fjernet.
Fejlen blev anmeldt til Datatilsynet den 12. februar 2021. Anmeldelsen skete således inden for den fastsatte frist på 72 timer, efter ministeriet blev bekendt med bruddet.
Der har derudover været igangsat en række undersøgelser for at undersøge omfanget af bruddet. Det er dog ikke muligt for Udlændinge- og Integrationsministeriet og styrelserne at afklare det præcise antal registrerede, der er berørt af bruddet, eller det specifikke antal personoplysninger, der indgår i bruddet.
Det er Udlændinge- og Integrationsministeriet, styrelserne og leverandørens vurdering, at der er en ringe sandsynlighed for, at leverandørens medarbejdere har fået uautoriseret adgang til de pågældende personoplysninger. Nyere logning af leverandørens, ministeriets og styrelsernes medarbejderes adgang til den gamle backup har vist, at den gamle backup i de seneste 18 måneder kun er blevet tilgået i et meget begrænset omfang, og at alle medarbejdere, som har tilgået data i den periode, har haft et arbejdsbetinget formål hermed. Derudover har det krævet specifik teknisk viden om de anvendte backup-typer, hvordan eventuelt krypterede backups kan dekrypteres og hvordan de skal læses. De gamle backups har på intet tidspunkt været tilgængelige for personer uden for ministeriet, styrelserne og leverandøren. Udlændinge- og Integrationsministeriet og styrelserne har ingen indikationer på, at adgangen til de pågældende personoplysninger har været forsøgt udnyttet og vurderer på baggrund af ovenstående, at sandsynligheden herfor er ringe, men kan ikke udelukke dette, da loggen alene viser de seneste 18 måneders aktivitet, hvorfor det ikke helt kan afvises, at nogle har haft uberettiget adgang. Der foretages derfor en offentlig underretning efter et forsigtighedsprincip, hvor der sker underretning til alle borgere, der potentielt kan være omfattet af bruddet.
Det er borgere, som indgår i Udlændinge- og Integrationsministeriets og styrelsernes sagsbehandlingssystemer, der potentielt kan være omfattet af bruddet. Der er i den forbindelse tale om alle udlændingemyndighedernes centrale sagsbehandlingssystemer, der benyttes til behandling af sager vedrørende udlændinges adgang til og ophold i Danmark. Det omfatter bl.a. sager om asyl, familiesammenføring, visumansøgninger, permanent opholdstilladelse og sager om arbejde, studie, au pair- og praktikophold.
Udlændinge- og Integrationsministeriets backups indeholdt eksempelvis navn, cpr-nummer eller udlændingenummer, oplysninger om beskæftigelse, etnicitet, politisk tilhørsforhold, religiøs overbevisning, helbredsoplysninger, strafbare forhold og/eller biometriske data.
Mulige konsekvenser for den enkelte borger
Hvis en medarbejder uden grundlag har tilgået og efterfølgende udnyttet personoplysninger i de berørte backups, kan de mulige konsekvenser for den enkelte borger eksempelvis være mistet kontrol over egne oplysninger samt identitetstyveri.
Udlændinge- og Integrationsministeriet opfordrer derfor borgere til at være opmærksomme på, om de har mistanke om, at deres personoplysninger er blevet misbrugt. Dette kan for eksempel være i tilfælde, hvor man som borger kontaktes af personer, der har oplysninger om ens udlændingesag. Hvis dette sker, skal borgeren straks kontakte Udlændinge- og Integrationsministeriet samt politiet.
Det bemærkes, at alle medarbejdere i den offentlige forvaltning er underlagt strafbelagt tavshedspligt, jf. forvaltningslovens § 27. I tilfælde af, at en medarbejder har udnyttet den åbne adgang til oplysningerne i backupperne og overtrådt sin tavshedspligt, kan personen straffes. Derudover er alle leverandører til offentlige myndigheder underlagt strafsanktioneret tavshedspligt efter straffelovens § 152 a. Som nævnt ovenfor, er der dog ingen indikationer på, at adgangen til de pågældende personoplysninger har været forsøgt udnyttet.
Endelig bemærkes, at de pågældende medarbejdere, som vil kunne have haft adgang alle er sikkerhedsgodkendte.
Hvis du har spørgsmål
Du kan kontakte Udlændinge- og Integrationsministeriet sikkert
Kontaktoplysninger på Udlændinge- og Integrationsministeriets og styrelsernes databeskyttelsesrådgivere
Du kan også kontakte Udlændinge- og Integrationsministeriets samt Hjemrejsestyrelsens, Udlændingestyrelsens og Styrelsen for International Rekruttering og Integrations databeskyttelsesrådgivere via og