Datatilsynet lukker sag om massive persondatalæk i kommune
En kommune havde 32.000 borgeres CPR-numre liggende åbent på sin hjemmeside i næsten to år. Nu er sagen officielt lukket, efter at tilsynet vurderede, at ingen havde fået adgang til de følsomme oplysninger.
En dansk kommune er sluppet uden større konsekvenser efter en alvorlig databeskyttelseskrise. I næsten to år lå 32.000 borgeres CPR-numre åbent tilgængelige på kommunens hjemmeside, uden at nogen havde opdaget det.
Datatilsynet har nu valgt ikke at indlede formelle sanktioner i sagen. Det bekræfter kommunen selv ifølge TV Midtvest. Kommunaldirektøren udtrykte lettelse over afgørelsen.
To år uden kontrol
Problemet opstod i januar 2024, da kommunen udgav et interaktivt kort over elbiladladestationer. I databaggrunden havde man glemt at slette en kolonne med personnumre fra de pågældende borgere. Fejlen blev først opdaget næsten to år senere, i december 2025.
Da kommunen gennemgik sine logfiler grundigt, kunne man dog konkludere, at ingen havde tilgået de eksponerede CPR-numre. Den manglende faktisk skade blev afgørende for sagen.
Ifølge kommunen ikke påkrævet at anmelde
Som resultat af denne vurdering argumenterede kommunen for, at databruddet slet ikke burde være blevet anmeldt til Datatilsynet. Kommunen skrev på sin hjemmeside, at da ingen havde fået adgang til oplysningerne, var der ikke tale om et regulært brud på persondatabeskyttelsen.
Datatilsynet var enig i denne fortolkning. Efter at have gennemgået kommunens dokumentation og sikkerhedslogfiler, besluttede myndighederne at lukke sagen uden yderligere handling.
For kommunen selv bliver afgørelsen betydningsfuld. Den understreger vigtigheden af løbende sikkerhedstjek af systemer, selv når man publicerer til det åbne internet.
Kilde
TV Midtvest — https://www.tvmidtvest.dk/ringkoebing-skjern/32000-cpr-numre-la-pa-kommunens-hjemmeside-nu-er-sagen-lagt-ned-0b268
Sidst opdateret: 27. marts 2026 kl. 12.00
