Publiceret 17-08-2021

Underretning om brud på datasikkerheden i Udlændingestyrelsen

Udlændingestyrelsen har konstateret brud på persondatasikkerheden i Adgangs- og Meldepligtssystemet AMS (tidl. SALTO-systemet) og underretter hermed berørte herom.

Datatilsynet har i en afgørelse af 10. august 2021 udtalt alvorlig kritik af Udlændingestyrelsen og politianmeldt styrelsen for overtrædelse af databeskyttelsesforordningen.

Datatilsynets afgørelse kan i sin helhed læses her 

Udlændingestyrelsen har på den baggrund revurderet spørgsmålet om orienteringen af registrerede i forbindelse med nedbrud i AMS i perioderne den 9.-10. juni, 2.-3. juli og 17. juli 2020. 

Derfor underretter Udlændingestyrelsen nu yderligere om brud på persondatasikkerheden i forbindelse med de ovennævnte nedbrud i AMS.

Hændelsesforløbet

I løbet af sommeren 2020 blev Udlændingestyrelsen opmærksom på, at der som følge af flere faktorer havde været nogle nedbrud i AMS, der anvendes til at registrere data til brug for behandling af sager om udlændinges overholdelse af opholds- og underretningspligten, jf. udlændingelovens § 42 a.
Udlændingestyrelsen gik herefter sammen med andre myndigheder i gang med en grundig undersøgelse af AMS og kunne konstatere, at der havde været flere hændelser med systemet i form af nedbrud. 

Nedbruddene medførte et datatab for Udlændingestyrelsen, der ikke blev konstateret i forbindelse med selve nedbruddene, men først senere. 

Oplysninger om ind- og udgange på Udrejsecenter Kærshovedgård er således som følge af nedbruddet i et vist omfang gået tabt for perioderne 9.-10. juni, 2.-3. juli og 17. juli 2020. Det samme gælder Udrejsecenter Sjælsmark for så vidt angår perioderne 2.-3. juli og 17. juli 2020.

Nedbruddet og den manglende konstatering af datatabet skyldes flere ting, herunder menneskelige fejl og utilstrækkelig backup-frekvens.

Oplysninger, der er omfattet af bruddet 

Oplysninger om ind- og udgange i Udrejsecenter Kærshovedgård er som følge af nedbruddet delvist gået tabt for perioderne 9.-10. juni 2020, 2.-3. juli og 17. juli 2020. Det samme gælder Udrejsecenter Sjælsmark for så vidt angår perioderne 2.-3. juli og 17. juli 2020.

Oplysningerne, der fremgik af systemet, var oplysninger til identifikation af de pågældende indkvarterede beboere samt oplysningerne om, hvorvidt pågældendes opholdskort var scannet på meldestandere eller adgangskarrusellen i Udrejsecenter Kærshovedgård eller Udrejsecenter Sjælsmark. 

Virkningen heraf var, at man i systemet kunne fremstå som ikke værende til stede i Udrejsecenteret den 9.-10. juni, 2.-3. juli eller 17. juli 2020. 

Registrerede, der kan være omfattet af bruddet

Udlændinge, der har været indkvarterede som beboere i Udrejsecenter Kærshovedgård i en eller flere af perioderne den 9.-10. juni, 2.-3. juli og 17. juli 2020 eller Udrejsecenter Sjælsmark for så vidt angår perioderne 2.-3. juli og 17. juli 2020, og som af myndighederne i disse perioder har været pålagt opholds- melde- og/eller underretningspligt, kan være omfattet af bruddet. 

Mulige konsekvenser for den enkelte

Konsekvens af bruddene på persondatasikkerheden er, at man fejlagtigt har kunne fremstå som udeblevet fra Udrejsecenter Kærshovedgård eller Udrejsecenter Sjælsmark.

Virkningen heraf kan blandt andet være, at der har kunnet været påbegyndt sager om nedsættelse af ydelser, og at man har kunnet blive politianmeldt for overtrædelse af sin opholds- og underretningspligt i den pågældende periode uagtet, at man muligvis var til stede på centeret. 

Konsekvensen heraf kan være, at man har lidt et tab af omdømme som følge af, at man er blevet politianmeldt, ligeledes de fejlagtige oplysninger kunne have haft indflydelse på andre fremtidige anmeldelser, gentagelsesvirkninger eller lignende retlige vurderinger.

Håndtering af databruddene

Udlændingemyndighederne har undladt at politianmelde eller trukket politianmeldelserne tilbage for de perioder, ligesom Udlændingestyrelsen har undladt at bruge data fra de pågældende perioder i forbindelse med beregning af ydelser og vurdering af opholds- og underretningspligten. Ligeledes har Udlændingestyrelsen meddelt anklagemyndigheden, at der skal ses bort fra de pågældende periode. 

Udlændingemyndighederne finder således, at de pågældende nedbrud er håndteret og inddæmmet effektivt i forhold til alle de af udlændingemyndig-hederne identificerede konkret berørte beboere, der ellers kunne have lidt et tab. Der er således med den viden, som udlændingemyndighederne har, ingen, der uretmæssigt er blevet dømt for overtrædelser af pligter, eller som uretmæssigt har fået frataget ydelser, som følge af de pågældende brud.

Udlændingemyndighederne har også:

  • Indskærpet vores retningslinjer for vores leverandør.
  • Indført yderligere tekniske foranstaltninger, bl.a. skærpelse af den tekniske systemovervågning, øget backup-frekvens og udvidelse af logningsperioder.

Hjemrejsestyrelsen overtog den 1. august 2020 ansvaret med at påse overholdelse af opholds- og underretningspligt fra Udlændingestyrelsen og meldepligt fra politiet, samt foretage anmeldelse af sådanne overtrædelser til politiet. I december 2020 suspenderede Rigsadvokaten indtil videre anvendelse af data fra AMS til brug for behandling af straffesager, hvorefter sagernes behandling har været baseret på manuelt registrerede data. Udlændinge- og Integrationsministeriet har i januar 2021 iværksat en ekstern undersøgelse af AMS. Hjemrejsestyrensen har desuden løbende skærpet kontrolprocedurerne i sagsbehandlingen.

Hvad skal du foretage dig?

Udlændingestyrelsen vurderer i forlængelse af det beskrevne, at bruddene er stoppet, og at du, hvis du er omfattet af bruddet, ikke behøver at foretage dig noget.

Hvis du har spørgsmål?

Hvis du har spørgsmål, eller du tror, at du er omfattet af bruddet, kan du kontakte Udlændingestyrelsens databeskyttelsesrådgiver, Kim Lunding, via vores kontaktformular eller via mail dpo@us.dk

 

 

Send link

Sidst opdateret 17-08-2021 - Publiceret af: Udlændingestyrelsen

Ansvarlig myndighed

Kontakt os