Publiceret 07-03-2023 - Senest opdateret: 10-03-2023

Pressemeddelelse: Sag om uberettiget adgang til personoplysninger politianmeldt

Styrelsen for International Rekruttering og Integration (SIRI) har afskediget og politianmeldt en nu tidligere medarbejder for uberettiget at have tilgået personoplysninger.

En nu tidligere medarbejder i SIRI er blevet afskediget og politianmeldt for uberettiget at have tilgået personoplysninger i CPR-registeret og/eller vores sagsbehandlingssystem.

SIRI vurderer på baggrund af en manuel gennemgang af mere end 50.000 opslag, at det ikke kan udelukkes, at 3.300 personers data, i perioden fra januar 2021 til november 2022, er blevet tilgået uberettiget af medarbejderen. 

Ud fra et forsigtighedsprincip har SIRI sendt et informationsbrev til alle potentielt berørte borgere. Hændelsen er endvidere anmeldt til Datatilsynet.

Direktør for SIRI, Trine Rask Thygesen, siger: 

”Det er en meget beklagelig sag, som jeg tager dybt alvorligt. Her er tale om en medarbejder, der groft har misbrugt sin adgang til personoplysninger, og som vi derfor har afskediget og politianmeldt. 

Vi vil gøre alt, hvad vi kan for, at det ikke sker igen. Derfor vil vi også gennemgå vores nuværende procedurer og retningslinjer for at se på, om vi kan gøre mere for at forebygge misbrug af adgange til personoplysninger.”

Om den konkrete sag

SIRI blev den 20. oktober 2022 kontaktet af en borger, som mente, at en medarbejder i SIRI uberettiget tilgik borgerens personoplysninger. SIRI kunne på daværende tidspunkt ikke identificere medarbejderen ud fra oplysningerne.

Den 2. november 2022 identificerede SIRI, hvilken medarbejder sagen drejede sig om. SIRI konstaterede, at medarbejderen havde foretaget opslag og skaffet sig adgang til data, uden at det havde nogen forbindelse til medarbejderens arbejdsopgaver i SIRI. Ved opslag i systemer har medarbejderen kunnet se oplysninger som CPR-nummer, indkomst, familierelationer og afgørelser i borgeres udlændingesager.

Den samme dag, den 2. november 2022, blev den pågældende medarbejder hjemsendt. I den forbindelse blev medarbejderens adgangskort, telefon og computer inddraget og adgangen til SIRIs it-systemer lukket. 

Den 3. og 8. november 2022 kontaktede SIRI vores it-leverandører med henblik på at indhente datatræk om den pågældende medarbejders opslag i både CPR-registeret og vores sagsbehandlingssystem. Den 4. og 8. november 2022 modtog vi data. I den forbindelse blev det oplyst, at CPR-registeret kunne tilgå lognings-data for ca. 13 måneder tilbage i tiden. Herudover blev SIRI i første omgang oplyst fra vores it-leverandør, at logningsdata fra vores sagsbehandlingssystem kun blev opbevaret i meget kort tid, og vi derfor ikke kunne få mere data.

Den 4. november 2022 blev hændelsen anmeldt til Datatilsynet, hvorefter SIRI løbende fulgte op på anmeldelsen i den efterfølgende periode.  

Den 5. og 7. december 2022 modtog SIRI fra vores it-leverandør mod forventning et nyt datatræk af medarbejderens 50.000 logninger i vores sagsbehandlingssystem i perioden fra januar 2021 til november 2022, hvorefter SIRI påbegyndte en manuel gennemgang af data. 

Den 7. december 2022 politianmeldte SIRI den nu tidligere medarbejder. 

Den 13. december 2022 påbegyndte SIRI orienteringen af cirka 273 berørte borgere om den uretmæssige adgang til deres personoplysninger på baggrund af det første datatræk. 

På baggrund af tidskrævende og omfattende manuel gennemgang af det nye datatræk med 50.000 opslag, påbegyndte SIRI den 28. februar 2023 orienteringen af cirka 3025 berørte borgere om den uretmæssige adgang til deres personoplysninger.

Den 3. marts 2023 anmeldte SIRI de yderligere databrud til Datatilsynet.

Generelt i forhold til databruddet

Når SIRI ansætter nye medarbejdere bliver disse altid sikkerhedsclearet. Nye medarbejdere bliver også introduceret til SIRIs politik for informationssikkerhed på deres første arbejdsdag, ligesom oplæringsprogrammet for hele koncernen indeholder flere faste elementer vedrørende GDPR og informationssikkerhed. SIRI gennemfører løbende stikprøvekontroller af medarbejdernes adgange til CPR-registeret. Endvidere laver SIRI audits på brugerrettigheder og brugeradgange på vores sagsbehandlingssystemer.

SIRI har indskærpet de interne retningslinjer for medarbejdernes opgavehåndtering ad flere omgange, herunder at personoplysninger kun må tilgås i forbindelse med konkrete arbejdsopgaver.

SIRI har endvidere på baggrund af hændelsen igangsat en gennemgang af SIRIs procedurer og retningslinjer vedrørende blandt andet logning, brugerrettigheder og audits. Det betyder, at SIRI blandt andet vil gennemgå, hvordan der tildeles adgang til SIRIs systemer, hvilke systemer der gives adgang til, hvad omfanget af adgangen er, hvordan der udføres audits, hvilke logninger der registreres, under hvilke omstændigheder logs kan tilgås, hvor længe logningsdata opbevares og under hvilke omstændigheder, der kan lukkes for medarbejderes adgange til systemer.

Kontaktoplysninger for pressehenvendelser:

Pressetelefon: 72 14 21 00

Pressemail: presse@siri.dk