I forbindelse med aktindsigt i en sag fik en journalist fra dagbladet Børsen i december 2017 adgang til fortrolige data på en FTP-server, som er beregnet til at udveksle store mængder data mellem borgere eller virksomheder, der har søgt aktindsigt i diverse sager.
Journalisten gjorde Kalundborg Kommune opmærksom på sikkerhedsbristen og FTP-serveren blev straks slukket.
De data, som journalisten fik adgang til, omfattede ifølge Dagbladet Børsen oplysninger om sundhedspersonales CPR-numre, lønforhold og pensionsvilkår.
Desuden var det muligt at få adgang til flere firmaers priser i forbindelse med tilbudsgivning på snerydning i Kalundborg Kommune.
Filerne indeholder bl.a. tusinder af navne på borgere, der er modtagere af kontanthjælp, integrationsydelse og uddannelseshjælp fra kommunen.
Og endnu værre var, at der også var filer med administrator-koder til IT-systemer i Kalundborg Kommune.
Der er ifølge Børsen tale om ca. 50.000 filer.
Kalundborg Kommunes respons
Kalundborg kommune oplyser, at de har igangsat en undersøgelse for at skabe overblik over omfanget af sikkerhedsbristen, bl.a. med henblik på at afgive en redegørelse til Datatilsynet.
FTP-serveren har ifølge kommunen på intet tidspunkt været ubeskyttet i forhold til uautoriseret adgang via Internettet.
Når en journalist har fået adgang til serveren, skyldes det ifølge Kalundborg Kommune, at journalisten i forbindelse med en sag, hvor der var bedt om aktindsigt, havde fået udleveret brugernavn og password til at tilgå serveren.
Årsagen til, at journalisten fra Børsen kunne få adgang til data, som ikke vedrørte den relevante sag, var ifølge Kalundborg Kommune en menneskelig fejl, hvor følsomme persondata var lagt på serverne uden at være krypterede.
Kalundborg Kommune oplyser, at de har logfiler 14 dage tilbage i tiden og at der her ikke er tegn på, at andre end journalisten fra Dagbladet Børsen har åbnet eller downloadet filer.
Næppe et bevis
Når man kun har logfiler 14 dage tilbage i tid, kan man til det bemærke at det i sig selv er ikke et bevis på, at der ikke tidligere har været personer, som har skaffet sig adgang til fortrolige data via det brugernavn og password, som kommunen har udleveret til borgere og virksomheder i forbindelse med sager om aktindsigt.