Ignorer kommandoer på båndet
Gå til hovedindhold
Topbanner
HJVHJKHjemmeværnskommandoenNyhederQA om SharePoint databrud

Menu

Nyhed

QA om SharePoint databrud

Oplysninger om dig fremgik af statistik om Hjemmeværnets frivillige, som befandt sig på forsvarets intranet. Dette skyldes sandsynligvis at du har været frivillig, i reserven eller ansøgt om at blive frivillig i Hjemmeværnet.

01-10-2021
​​Rettelse: Underretningsbrevet indeholder en forkert mailadresse. HJK’s DPO (Kristian Brandt) kan kontaktes via HJK-KTP-DPO.

Information vedr. publicering af denne Q&A:
HJK blev den 19. november mundtligt orienteret, at FPS havde erkendt et datalæk omfattende frivillige i HJV. FPS skal i sådanne situationer sikre, at berørt personel bliver orienteret samt melde til Datatilsynet. Det blev aftalt, at HJK skulle stå som afsender på brevene til de frivillige i HJV. Som det fremgår af brevet tilsendt de berørte via E-boks, blev FPS opmærksom på fejlen den 27. oktober 2021, og filerne med personoplysninger blev umiddelbart efter fjernet fra sitet. Det bemærkes også, at oplysningerne umiddelbart kun kan være set uretmæssigt af medarbejdere i Forsvaret. I brevet fremgik endvidere en henvisning til en udarbejdet Q&A. Denne Q&A blev samtidigt med afsendelsen af brev til berørtes E-boks gjort tilgængelig på HJV.dk. 
Normalt vil en lignende Q&A ikke blive lagt på HJV.dk som en nyhedsartikel, men i en ikke-indekseret side på HJV.DK – en side der ikke kan findes via hjemmesidens menupunkter. Artiklers udgivelsesdato er ikke et udtryk for, hvornår artiklen er lagt op, men er en manuel indstillet parameter, der kan ændres frem eller tilbage i tid. Af hastighedshensyn blev denne Q&A lagt op som en nyhedsside, hvor datoen blev ændret så den ikke optrådte i det normale nyhedsflow og ikke som en ikke-indekseret side, som procedurerne ellers er det. Dette blev gjort, da linket til den udsendte mail skulle leveres hurtigere end forventet.

Vi beklager hvis denne måde at offentliggøre Q&A’en på har skabt unødvendige bekymringer.

​​

BAGGRUND FOR UNDERRETNINGEN:

Hvorfor har jeg modtaget underretningen?

Oplysninger om dig fremgik af statistik om Hjemmeværnets frivillige, som befandt sig på forsvarets intranet. Dette skyldes sandsynligvis at du har været frivillig, i reserven eller ansøgt om at blive frivillig i Hjemmeværnet.  Det var en fejl at oplysningerne ikke blev slettet, før statistikken blev placeret på intranettet. Ca. 52.000 personer er omfattet af hændelsen og har modtaget underretningen.

Skal jeg gøre noget?

Hvis du ikke har haft mistanke om misbrug af dine oplysninger, er der ikke noget du skal foretage dig. Vi anbefaler dog, at man generelt udviser sikker adfærd på internettet (læs eventuelt https://www.borger.dk/internet-og-sikkerhed), og at man er opmærksom hvis man oplever mistænkelige hændelser i relation til sine oplysninger eller konti.

Oplever du noget mistænkeligt omkring dine personoplysninger eller har mistanke om et muligt identitetstyveri. Så bør du henvende dig direkte til politiet. Konstaterer politiet, at du er ramt af et identitetstyveri, hvad enten det måtte være relateret til dette databrud eller ej, bedes du melde dette til Hjemmeværnskommandoen via HJV@HJV.DK.

 

OM DATABRUDDET:

Hvad er det, der har ligget tilgængeligt for forsvarets ansatte?

Der har ligget forskellige filer på den pågældende side, med forskellige kategorier af oplysninger om forskellige personer.

Underretningen du har modtaget, beskriver netop hvilke oplysninger om dig, der har været tilgængelige på intranetsiden. For de fleste personer er der tale om CPR. nr., medarbejder nr. og navn. For enkelte (ca. 500) personer, er der også tale om en konstatering af at personen er blevet afskediget.

Hvad er så problemet, hvis det kun er forsvarets ansatte der har haft mulighed for at se Excel arkene med persondata?

Alle i forsvaret er ikke bemyndiget til at kigge i dine data, det er normalt afgrænset til relevante medarbejdere som arbejder med HR.

Hvem vil kunne misbruge det?

Hvis dine data bliver videregivet af en person i forsvaret med ondt i sinde, kan andre komme i besiddelse af dine data.

​Hvad kan uvedkommende bruge informationerne til?

Identitetstyveri og lignende.

Hvis man har oplevet identitetstyveri, skal man rette henvendelse til politiet.

 

Hvad skal jeg kigge efter, hvis jeg tror, jeg er blevet hacket?

Andre der udgiver sig for at være dig, konti der oprettes uden dit vidende, økonomiske transaktioner du ikke er vidende om, unormale hændelser på dine digitale medier etc.

 

Hvor længe har oplysningerne ligget der?

Der er løbende blevet lagt nye filer ind på siden. De første filer blev placeret på siden i 2012 og har således ligger der i op til 9 år. De senest tilføjede filer indeholdende personoplysninger blev lagt op i 2018.

 

Hvorfor er det først opdaget nu?

De personer som tilgik siden for at finde filer med statistik, har sandsynligvis set på statistikken uden at opdage de personoplysninger som også lå i filerne.

 

Hvad skulle statistikken bruges til?

Statistikken blev brugt af Hjemmeværnets ledelse for at følge tilgang og afgang blandt frivillige.

 

Hvorfor har I ikke underrettet de berørte straks efter at bruddet blev konstateret?

Siden indeholdte mange filer, som alle skulle analyseres for at identificere samtlige berørte personer og afdække bruddets omfang. Derefter skulle underretningen forberedes og koordineres på tværs af myndigheder.

 

Hvad vil I gøre for at forhindre, at det sker igen?

Koncernen har igangsat et centralt arbejde i gang omkring praksis for brug af intranetsider, samt implementering af nye tekniske sikkerhedsforanstaltninger. Derudover er man generelt i gang med at rydde op på intranetsiderne, som en konsekvens af sager som denne.

 

Hvor længe opbevarer I mine oplysninger?

Filerne er blevet slettet fra intranetsiden. Forsvaret opbevarer dog fortsat oplysninger om frivillige i medfør af journalpligten i offentlighedsloven – denne opbevaring sker i et sikkert system, ikke på intranettet.

 

Hvem har ansvaret?

Ansvaret for bruddet er delt mellem Forsvarsministeriets Personalestyrelse (FPS) og Hjemmeværnskommandoen (HJK). Det var FPS' ansatte som ved en fejl placerede filerne på intranettet, uden at slette de personoplysninger som statistikken baserede sig på. Det er dog HJK som er ansvarlig for selve siden, herunder fx brugerstyring og sletning af indhold.

 

TEKNISKE SPØRGSMÅL:

Hvordan kan det ske - man skulle tro, at I havde god erfaring med at håndtere mine data forsvarligt?

Vi kan se, at den dårlige praksis ophørte i 2018 da GDPR trådte i kraft, man glemte desværre at  rydde op bagudrettet samtidigt. På baggrund af lignende sager har vi iværksat en oprydning af indholdet på vores intranetsider.

 

Driftes siden af Forsvaret eller en leverandør?

Det er en anden styrelse i Forsvaret, FMI, der står for driften af disse sites.

 

JURIDISKE SPØRGSMÅL:

Hvordan behandles mine personoplysninger?

Forsvaret behandler typisk dine personoplysninger med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1., litra  e, jf. databeskyttelseslovens § 6, samt databeskyttelseslovens §§ 11 og 12.

 

Bør jeg ændre mit CPR. nr.?

Du kan læse om mulighederne for at blive tildelt et nyt CPR nummer via nedenstående link. Det er dog kun muligt i særlige tilfælde, man skal bl.a. kunne dokumentere at være udsat for identitetstyveri.

https://cpr.dk/borgere/kan-jeg-faa-et-nyt-personnummer

 

Kan jeg få en økonomisk kompensation?

Hvis det ikke kan dokumenteres, at du har lidt skade som følge af databruddet, er du ikke berettiget til kompensation.​

Såfremt du kan dokumentere, at du har lidt skade som følge af databruddet, har du muligvis ret til at modtage erstatning. Dette følger af databeskyttelsesforordningens artikel 82.

Hvis du mener at være berettiget til erstatning, bedes du kontakte os via HJK@MIL.DK

 

Hvad er det ved personoplysningerne, der gør dem så følsomme, at I behandler det som et databrud?

Der er tale om et databrud, når der er uautoriseret adgang til personoplysninger – uanset om de er følsomme eller almindelige. FPS har valgt at orientere dig, og øvrige berørte, fordi bruddet havde en lang varighed og indeholdte mange CPR-numre.

 

 

 



Hjemmeværnskommandoen - Vordingborg Kaserne - Sankelmarksvej 26 - 4760 Vordingborg Telefon: +45 7282 0000 - E-mail: hjk@hjv.dk - EAN:5798000201224 - Tilgængelighedserklæring