Rettelse: Det fremgik tidligere af artiklen, at medarbejderne ikke fik en kvittering for sendt mail. Det korrekte er, at medarbejderne fik en kvittering, på trods af at systemet ikke sendte sikre mails med cpr-numre i emnefeltet videre. DR beklager fejlen, som er rettet.
Det har haft konsekvenser for både borgere og Nyborg Kommune, at 913 mails fra Nyborg Kommune strandede i et sikkerhedsfilter. De mange mails er blevet sendt fra 2018 og frem til i dag, men det er først her i marts i år, at kommunen opdagede fejlen.
- Det er jo ikke godt nok, lyder det fra Anders Sørensen, der er vicedirektør i Nyborg Kommune.
Ifølge ham er kommunen gået i gang med at undersøge alle mails for at finde ud af, hvilke konsekvenser det har haft, at de har ligget i et sikkerhedsfilter, uden at nogen har opdaget det.
Anders Sørensen oplyser, at Nyborg Kommune foreløbig er nået frem til, at der er tale om seks sager, hvor der kan være konsekvenser for enten borgere eller kommunen.
- Det kan være pensionsoplysninger i forhold til en borger, det kan være et refusionstilsagn i forhold til en kommune, der er blevet behandlet mellem to myndigheder og så videre, så det kan både have nogle konsekvenser i forhold til kommunen, men kan også have haft nogle konsekvenser i forhold til borgerne, siger Anders Sørensen.
Ifølge kommunen stammer hver tredje mail fra den skandaleramte familie- og socialafdeling.
En død indbakke og et sikkerhedsfilter
Mailfadæsen kommer, blot fem uger efter at Nyborg Kommune måtte undskylde, at 277 mails - blandt andet om akutte børneunderretninger - havnede i en "død" indbakke og lå dér i mere end tre måneder. Det var i forbindelse med den sag, at kommunen opdagede, at der også lå 913 mails i et sikkerhedsfilter, som ingen havde opdaget.
Ingen af de her mails er sendt fra eller til en borger, men er sendt mellem professionelle myndighedspersoner, oplyser kommunen. Fejlen opstår, fordi medarbejdere skriver cpr-nummer på borgere i mailens emnefelt. Det må man ikke, og systemet er indrettet sådan, at en sådan mail ikke kommer videre. Fejlen i systemet er, at medarbejderne i alle tilfælde har fået en kvittering, så medarbejderne har troet, at mailen var kommet sikkert og korrekt frem.
Systemet har sendt den kvittering, selvom det ikke har sendt mails med cpr-nummeret i emnefeltet videre.
Ifølge Anders Sørensen blev der i samme periode sendt 163.000 sikre mails fra Nyborg Kommune og fem millioner almindelige mails.
Ingen alvorlige konsekvenser
Han mener selv, at konsekvenserne ikke har været alvorlige:
- Konsekvenserne har måske været ret minimale, set i lyset af at mange af de her mails egentlig er blevet genfremsendt i forbindelse med rykkere, eller man har haft kontakt mellem andre myndigheder. Mange af sagerne er blevet løst på anden vis gennem tiden, så konsekvenserne har været ret minimale, siger Anders Sørensen.
Er det godt nok, at der går så lang tid, før man opdager det, når det faktisk er flere alvorlige sager, det drejer sig om?
- Ja, det er jo ikke godt nok set i lyset af, at vi først opdager den her fejl i forbindelse med et andet databrud i marts måned, hvor vi er inde og rette den fejl, så konstaterer vi, at der er den her type fejl, og så er det, at vi går tilbage i tiden og finder ud af, at det faktisk er noget, der trækker tilbage til 2018, hvor vi opretter det her filter.
Eksterne undersøgelse skal klarlægge omfang
Anders Sørensen tilføjer, at der er sat gang i en ekstern undersøgelse af hele it-området i Nyborg Kommune. Undersøgelsen skal blandt andet også vise, om kommunen uddanner og vejleder sine ansatte på den rigtige måde. Kommunen har selv indberettet fejlen i en redegørelse til Datatilsynet, som DR har fået aktindsigt i.
Er jeres ansatte klædt godt nok på til at kunne udføre deres opgave?
- Det er korrekt, at vi har nogle retningslinier, der gør, at vi ikke må skrive cpr-nummer i emnefeltet, når man sender sikker post, og det er jo løbende noget, vi prøver at arbejde med at informere og vejlede medarbejderne i. Vi har undervisningsforløb og sender vejledninger ud. Der er stor personaleudskiftning i kommunen, så vi skal hele tiden været gode til at undervise medarbejderne, siger Anders Sørensen.
Hvad siger det her om jeres it-sikkerhed, at I står med to så alvorlige sager?
- Vi er rigtige kede af de her fejl, der opstår, og det er nogle fejl, vi skal lære af, og vi tager det derfor også meget alvorligt, siger han.
Han vil ikke på nuværende tidspunkt sige, om sagen får konsekvenser for medarbejdere. Det vil først ske, når den eksterne undersøgelse er afleveret.
Kan I afvise, at der kommer flere sager?
- Det kan jeg jo selvfølgelig ikke afvise. Vi håber det ikke. Uanset hvad er det jo godt, at vi har fokus på det og får løst de fejl og udfordringer, der er på it-området i stedet for at lukke øjnene.