Nyhed

Offentlig underretning om brud på persondatasikkerheden

Fredag den 29. januar 2021 konstaterede Erhvervsstyrelsen et brud på persondatasikkerheden som følge af en fejl ved udførelsen af en manuel proces.

  • 3. februar 2021
  • Digital indberetning og selvbetjening
  • IT-sikkerhed og persondatabeskyttelse

Konsekvenserne af bruddet på persondatasikkerheden

Bruddet har medført, at op imod 3000 brugere af en digital løsning (CVR-indekset) i perioden fra 27. januar 2021 kl. 20.00 frem til 29. januar 2021 kl. 15.00 har kunnet tilgå CPR-numre på i omegnen af 150.000 personer, som er registreret i CVR-databasen.

Konkret har Erhvervsstyrelsen utilsigtet populeret et datafelt i den digitale løsning, som normalt er tomt. Mange af løsningens brugere vil derfor ikke have opdaget bruddet, da løsningen i vid udstrækning anvendes til at opdatere faste datafelter hos brugeren selv. Bruddet blev derfor også opdaget af styrelsen selv i en opfølgende kontrol.

Foranstaltninger for at afhjælpe bruddet på persondatasikkerheden

Erhvervsstyrelsen blokerede straks efter bruddets konstatering adgangen til den pågældende digitale løsning.

Ud over at indberette bruddet til Datatilsynet har Erhvervsstyrelsen orienteret løsningens brugere herom, herunder at eventuelle kopier af de pågældende oplysninger skulle slettes.

Erhvervsstyrelsen har sidenhen fjernet de pågældende oplysninger (CPR-numrene) fra den digitale løsning, hvorefter brugernes adgang er blevet genetableret.

Erhvervsstyrelsen har igangsat en gennemgang af sine procedurer, hvad angår udførelsen af den manuelle proces, for dermed at sikre, at hændelsen ikke gentager sig.

Yderligere informationer og kontakt til os

Hvis du har yderligere spørgsmål til bruddet, kan du kontakte Erhvervsstyrelsen på cvrselvbetjening@erst.dk. Hvis henvendelsen ønskes fremsendt med sikker digital post, skal Erhvervsstyrelsens hovedpostkasse (erst@erst.dk) dog anvendes.