Retsudvalget 2017-18
REU Alm.del
Offentligt
1933196_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
31. august 2018
Straffuldbyrdelseskonto-
ret
Kristine Toke Mogensen
2018-0030-1285
791472
Hermed sendes endelig besvarelse af spørgsmål nr. 911 (Alm. del), som Fol-
ketingets Retsudvalg har stillet til justitsministeren den 22. juni 2018.
Spørgsmålet er stillet efter ønske fra Peter Kofod Poulsen (DF
)
.
Søren Pape Poulsen
/
Anders Aagaard
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 911: Spm. om, hvordan udviklingen af et it-program i det offentlige kan medføre, at et større antal fængselsbetjente har fået lagt deres personfølsomme oplysninger åbent til skue, til justitsministeren
Spørgsmål nr. 911 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren redegøre for, hvordan udviklingen af et it-pro-
gram i det offentlige kan medføre, at et større antal fængselsbe-
tjente har fået lagt deres personfølsomme oplysninger åbent til
skue, jf. artiklen ”Politikerne er oprørte over datalæk: »Det er
helt katastrofalt«” fra Politiken den 20. juni 2018?”
Svar:
Det er afgørende, at de ansatte i kriminalforsorgen kan have tillid til, at per-
sondata om dem ikke lækkes. Ethvert læk af sådanne oplysninger er selvsagt
noget, jeg tager meget alvorligt.
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en ud-
talelse fra Direktoratet for Kriminalforsorgen, der har oplyst følgende:
”Direktoratet for Kriminalforsorgen kan oplyse, at kriminal-
forsorgen har en kontrakt om support og vedligeholdelse af kri-
minalforsorgens personalesystem med en it-leverandør. Til at
styre disse support- og vedligeholdelsesopgaver anvender leve-
randøren et sagsstyringsværktøj. Det er i forbindelse med en
vedligeholdelsesopgave, at det pågældende datalæk er sket.
Således fik leverandøren i tilknytning til en organisationsæn-
dring i kriminalforsorgen i sommeren 2015 til opgave at gen-
nemføre en samlet ændring af personalesystemets såkaldte
stamdata. I forbindelse med opgaveløsningen lagde leverandø-
ren oversigten med kriminalforsorgens stamdata ind i sagssty-
ringsværktøjet.
Efter opgaven var afsluttet, blev oversigten ikke slettet fra leve-
randørens sagsstyringsværktøj.
Den 20. september 2017 lavede leverandøren en fuld kopi af
sagsstyringsværktøjet i forbindelse med en opgradering. Kopien
inkluderede al kundedata, der var indeholdt i sagsstyringsværk-
tøjets kundesager. Denne kopi videregav leverandøren til sin un-
derleverandør.
Dette skete uden kriminalforsorgens viden eller godkendelse.
Den 20. december 2017 foretog en medarbejder hos underleve-
randøren en ændring i den overordnede adgangsstyring til leve-
randørens sagsstyringsværktøj, og på grund af denne ændring
blev der givet fuld adgang til sagsstyringsværktøjets data fra in-
ternettet og dermed også til de kundedata, som relaterede sig til
kriminalforsorgen.
2
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 911: Spm. om, hvordan udviklingen af et it-program i det offentlige kan medføre, at et større antal fængselsbetjente har fået lagt deres personfølsomme oplysninger åbent til skue, til justitsministeren
Den 1. januar 2018 blev data automatisk indekseret af Google,
hvilket er en almindelig rutine fra Google. Den automatiske in-
deksering medførte, at det herefter var muligt at fremsøge de
nævnte stamdata vedrørende kriminalforsorgens personale i le-
verandørens sagsstyringsværktøj ved hjælp af en Google-søg-
ning.
Leverandøren oplyste den 8. januar 2018, at der var lukket for
adgang til leverandørens server og dermed sagsstyringsværktø-
jer, og at Googles såkaldte cache-version af sagsstyringsværk-
tøjets data var slettet, så det ikke længere var muligt at fremsøge
data.
For at imødegå risikoen for lignende hændelser fremover, har
kriminalforsorgen under en revision den 6. marts 2018 pålagt
den konkrete leverandør at rette op på de uhensigtsmæssighe-
der, som var observeret i forbindelse med afdækning af hændel-
sesforløbet.
Kriminalforsorgen har desuden fokus på at forbedre informa-
tionssikkerheden, herunder tilsynet med leverandørers håndte-
ring af personoplysninger om såvel medarbejdere som klienter,
ligesom der er fokus på, at medarbejdernes bevidsthed om data-
beskyttelse styrkes.
Erfaringerne fra hændelsesforløbet indgår i det fortsatte arbejde
hermed. Kriminalforsorgen vil i den forbindelse bl.a. sikre, at
leverandører kun får adgang til live-data, når det er absolut nød-
vendigt for løsning af en konkret opgave, og at der i sådanne si-
tuationer tages de nødvendige sikkerhedsmæssige foranstaltnin-
ger.”
Justitsministeriet kan desuden henvise til den samtidige besvarelse af
spørgsmål 913 (Alm. del) fra Folketingets Retsudvalg, hvoraf det bl.a. frem-
går, at kriminalforsorgens undersøgelse af sagen, foretaget med bistand fra
PET og et IT-sikkerhedsfirma, viste, at der ikke var tegn på, at andre end
kriminalforsorgens medarbejder og Googles indekseringssystem har tilgået
oplysningerne.
Justitsministeriet kan afslutningsvist bemærke, at ministeriet i lyset af det
generelt skærpede fokus på databeskyttelse har forstærket sin indsats om-
kring informationssikkerhed. Der er netop ansat en koncerndatadirektør,
som sammen med en ny koncerndataenhed skal kortlægge Justitsministeri-
ets hidtidige praksis og compliance vedrørende databeskyttelse mv. På den
baggrund skal der fastlægges nye retningslinjer for tilsynet og arbejdet med
3
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 911: Spm. om, hvordan udviklingen af et it-program i det offentlige kan medføre, at et større antal fængselsbetjente har fået lagt deres personfølsomme oplysninger åbent til skue, til justitsministeren
databeskyttelse og informationssikkerhed, som sikrer, at Justitsministeriet
honorerer de berettigede forventninger om tilstrækkelig beskyttelse af data.
4