Publiceret 04-01-2022

Underretning om brud på persondatasikkerheden hos Udlændingestyrelsen og SIRI

CPR-numre er blevet logget, når man har anvendt NemLog-in i forbindelse med indgivelse af online ansøgninger til Udlændingestyrelsen og SIRI via NyiDanmark. Log-filerne med CPR-numre har været offentligt tilgængelige på en specifik webadresse.

Hændelsesforløb

Udlændingestyrelsen og Styrelsen for International Rekruttering og Integration (SIRI) har konstateret brud på persondatasikkerheden i forbindelse med indgivelse af online ansøgninger på nyidanmark.dk via NemLog-in. Styrelserne underretter med denne meddelelse de berørte parter.

Bruddet blev stoppet den 13. september 2021 af vores databehandler. Bruddet er anmeldt til Datatilsynet den 16. september 2021.

Den 14. september 2021 gjorde databehandleren Udlændingestyrelsen og SIRI opmærksom på, at der i en periode fra den 2. april 2019 til den 13. september 2021 har været logget CPR-numre på ansøgere, der har indgivet en online ansøgning på nyidanmark.dk via NemLog-in.

Logningen er sket på baggrund af en menneskelig fejl hos styrelsernes databehandler og underdatabehandler. Bruddet på persondatasikkerheden opstod, da en system-log, der anvendes i testmiljøet, ikke blev slået fra i forbindelse med, at man flyttede systemet tilbage til produktionsmiljøet.

Det har ikke været muligt at afklare, hvorvidt filerne har været tilgået af uvedkommende eller ej, da der ikke har været ført log over, om filerne har været tilgået. Det bemærkes dog, at logfilen løbende er blevet fjernet med et interval på mellem 20 minutter til 2 timer. Det betyder, at adgangen til de konkrete CPR-numre kun har været tilgængelige i det nævnte tidsrum.

Standsning af bruddet

Styrelserne har standset bruddet på persondatasikkerheden og fået fjernet og slettet de pågældende log-filer.

Retningslinjer for opgavehåndtering fremadrettet er blevet indskærpet og der er indført yderligere tekniske foranstaltninger for at undgå noget lignende fremover.

Endelig gennemgår styrelserne og vores databehandlere løsningerne med henblik på at vurdere, hvilke yderligere tiltag der evt. bør iværksættes.

Hvilke personer er omfattede?

Personer, der siden april 2019 har anvendt styrelsernes onlineansøgningsformularer, er omfattet af bruddet på persondatasikkerheden, hvis de har brugt NemLog-in i forbindelse med indgivelse af ansøgningen.

Personernes CPR-numre er omfattet af bruddet. Der har ikke samtidig været adgang til øvrige personoplysninger, fx navn eller adresse tilknyttet CPR-numrene.

Hvad betyder det for dig?

Udlændingestyrelsen og SIRI vurderer, at der er en risiko for, at uvedkommende har kunnet få adgang til dit CPR-nummer, hvis du har anvendt vores onlineansøgningsformularer. Det bemærkes, som nævnt ovenfor, at logfilen løbende er blevet fjernet med et interval på mellem 20 minutter til 2 timer, og at adgangen til de konkrete CPR-numre kun har været tilgængelige i det nævnte tidsrum.

En mulig konsekvens af, at uvedkommende får adgang til et CPR-nummer, er, at der sker tab af fortrolighed om selve CPR-nummeret, og at dette vil kunne lede til forsøg på identitetstyveri eller -misbrug.

Hvad skal du gøre?

Bruddet er stoppet, og du behøver ikke umiddelbart at foretage dig noget.

Hvad kan du yderligere gøre?

Hvis du ønsker, så kan du få en kreditadvarsel i CPR-registeret.

En kreditadvarsel er en markering i CPR-registeret om, at du ønsker at advare mod, at der ydes lån og kredit i dit navn.

En kreditadvarsel kan være relevant, hvis du frygter, at dit CPR-nummer kan eller vil blive brugt til identitetsmisbrug.

Læs mere om, hvordan kreditadvarsel indsættes i CPR-registeret, på borger.dk

På sikkerdigital.dk kan du finde mere information om blandt andet identitetstyveri, herunder hvordan du kan beskytte dig mod det, ligesom du kan få hjælp, hvis du er offer for dette.

Læs mere om identitetstyverig og digital sikkerhed på sikkerdigital.dk

Du kan også ringe til Digitaliseringsstyrelsen hotline, der har døgnåbent hele året rundt, hvis du opdager eller mistænker, at dine personlige oplysninger er blevet stjålet. Nummeret er: 33 98 00 98.

Kontaktoplysninger

Hvis du har spørgsmål, så kan du kontakte en af styrelsernes databeskyttelsesrådgivere via vores kontaktformularer eller via deres mail.

Kontaktoplysninger databeskyttelsesrådgiver i SIRI: Kontaktformular for SIRI eller dpo@siri.dk

Kontaktoplysninger databeskyttelsesrådgiver i Udlændingestyrelsen: Kontaktformular for Udlændingestyrelsen, eller dpo@us.dk

Udlændingestyrelsen og SIRI beklager meget det skete brud.