Dataläcka: Känsliga personuppgifter exponerades på internet

Av Rickard Gustafsson

Laholms kommun avslöjar nu att personuppgifter om anställda har varit publikt tillgängliga via internet. I dagsläget kan det inte uteslutas att även känsliga och sekretessbelagda uppgifter har exponerats.
– Det är inte bra att det har funnits en möjlighet för uppgifter att läcka, säger kanslichefen Jonas Påhlsson till LT.

I slutet av januari blev Laholms kommun kontaktad av Hylte kommun, som meddelade att de identifierat en allvarlig säkerhetsbrist i ett av sina digitala system. Då Laholm använder samma typ av system gjordes omgående en liknande kontroll – och samma problem upptäcktes.

Bristen innebar att personuppgifter om nuvarande och tidigare anställda i Laholms kommun kan ha varit åtkomliga via internet genom en teknisk applikation som används för att överföra information mellan olika system – i det här fallet mellan ett personalsystem och ett schemaläggningssystem.

– För att komma åt informationen krävdes dock att man kände till den exakta webbadressen och visste hur man skulle ställa frågor till systemet, säger Jonas Påhlsson.

Applikationen stängdes omedelbart när bristen upptäcktes och går i dag inte längre att nå. Samtidigt har kommunen vänt sig till systemleverantören CGI för att få fram tekniska loggar som kan visa hur länge applikationen varit tillgänglig och om någon obehörig använt den.

– I värsta fall kan samtliga nuvarande och tidigare anställda i kommunen ha berörts, men vi vet ännu inte omfattningen eftersom vi inte fått svar på de frågorna, säger Jonas Påhlsson.

De uppgifter som kommunen med säkerhet vet kan ha varit åtkomliga är bland annat personnummer, hemadresser, privata telefonnummer och schemainformation.

Samtidigt kan kommunen i nuläget inte utesluta att även sekretessbelagda personuppgifter kan ha förekommit.

– Det är det vi måste titta extra noga på nu, så att det inte rör sig om skyddade personuppgifter. Där har vi fortfarande en del arbete kvar tillsammans med leverantören, säger Jonas Påhlsson.

Kommunen uppger att det i dagsläget inte finns några konkreta tecken på att uppgifterna spridits eller missbrukats, men medger att bedömningen till viss del bygger på sannolikhet.

– Vi har inte märkt att någon försökt utnyttja det, men vi behöver få svar från leverantören för att kunna vara helt säkra, säger han.

Händelsen har anmälts till Integritetsskyddsmyndigheten och Myndigheten för civilt försvar. Enligt kommunen ligger det yttersta ansvaret för personuppgiftsbehandlingen hos kommunen, även när externa leverantörer används.

– Det här är en incident vi tar på största allvar och som vi måste dra lärdom av, säger Jonas Påhlsson.