Randers Kommune stiller spørgsmålstegn ved DR’s og UdbudsVagtens håndtering af sagen. Herunder den iøjnefaldende timing i UdbudsVagtens henvendelse til kommunen og UdbudsVagtens økonomiske incitamenter i tilknytning til undertegnedes kommentar i TV Avisen om, at “problemet er stort og udbredt”.

At jeg udtaler, at problemet er stort og udbredt, skyldes blandt andet, at UdbudsVagten på blot en uge kunne finde dokumenter med cpr-numre på 21 af 98 kommunale hjemmesider. Blandt de fundne dokumenter var oplysninger om borgeres cpr-numre i tilknytning til medicinske tilstande såsom cancer, inkontinens og børn med neurologiske problemstillinger. En efterfølgende lækage af cirka én million cpr-numre fra CPR-kontoret underbygger problemets omfang.

Det er helt korrekt, at UdbudsVagten har kommercielle interesser i overvågning af offentlige data. Hos UdbudsVagten beskæftiger vi os med overvågning og analyse af data fra den offentlige sektor. Det har vi gjort siden år 2000. De indsamlede data struktureres, beriges, katalogiseres og gøres søgbare til en række formål. Alt sammen en forudsætning for, at analysen af lækkede cpr-numre kunne foretages. En virksomheds kommercielle incitamenter og gode løsninger er ikke modsætninger. Det er ofte hinandens forudsætninger.

Med hensyn til UdbudsVagtens konkrete håndtering af historien i medierne og kontakten til kommunerne er det svært for mig at se, hvordan vi skulle have handlet anderledes.

Fakta i sagen:
•     Alle 21 kommuner fik af UdbudsVagten omkostningsfrit og i fortrolighed identificeret de følsomme dokumenter
•     UdbudsVagten søgte dialog med de 21 kommuner, efter at lækagerne blev verificeret, og inden DR breakede cpr-analysen
•     Der blev afholdt fysiske møder med de kommuner, der ønskede hurtig afdækning af problemet. De resterende fik efterfølgende tilsendt anvisninger via mail (efter at denne fremgangsmåde var blevet afstemt med Datatilsynet)
•     Cpr-analysen blev anonymiseret, og ingen af de 21 kommuners navne blev således offentliggjort
•     25 % af de fundne følsomme dokumenter havde været tilgængelige på internettet i mere end tre år. Og datagrundlaget for cpr-analysen udgjorde kun cirka 20 % af kommunernes offentliggjorte materiale

På trods af DR’s seneste seriøse dækning af problematikken kan vi konstatere, at det tilsyneladende kun er de færreste myndigheder, der finder holdbare løsninger på de grundlæggende problemer. I stedet forsøger nogle myndigheder alene at gøre cpr-nummeret til problemet til trods for, at personfølsomme oplysninger ikke altid indeholder et cpr-nummer. Andre myndigheder satser på “snævre” løsninger, der er designet til at identificere dokumenter med cpr-numre. Hvordan det skal afhjælpe problemet med de øvrige personfølsomme oplysninger, der ikke indeholder et cpr-nummer, er uklart.

Efter DR’s afsløringer hører vi nu om kommunale it-initiativer og helt nye offentlige it-udviklingsprojekter af cpr-screeningsværktøjer. Tiden må vise, om myndighederne får løst udfordringerne denne gang. 

Kevin Leig Bengtsson, direktør, UdbudsVagten A/S