I en periode på tre måneder lå omkring 5000 borgeres CPR-numre og fulde navn frit tilgængelige på kommunens hjemmeside. Hvorfor gik der flere måneder, før det blev opdaget, hvor tilgængelige var informationerne, og hvad er der blevet gjort, siden det blev opdaget? Det uddyber kommunen nu.
- Cirka 5000 borgeres CPR-numre og navne var offentligt tilgængelige på kommunens hjemmeside fra tirsdag den 28. oktober 2025 til fredag den 30. januar 2026.
- Fejlen skyldtes en forkert opsætning af et digitalt kort på hjemmesiden, der ved en fejl viste personoplysninger.
- Kommunen har ikke registreret tegn på, at de lækkede oplysninger er blevet misbrugt.
- Allerød Kommune har forbedret interne procedurer for at forhindre lignende hændelser i fremtiden og meldte det til Datatilsynet.
- Borgerne blev informeret en uge efter opdagelsen, og kommunen vil samarbejde med politiet, hvis det efterspørges, men en eventuel erstatning afhænger af kommende afgørelser.
Dette resumé er genereret af kunstig intelligens og kvalitetssikret af journalister.Datalækket blev opdaget den 30. januar, og her viste det sig, at de personlige data havde ligget på kommunens hjemmeside siden 28. oktober. En uge efter blev de berørte borgere informeret.
Oplysningerne lå på et digitalt kort over matrikler på hjemmesiden, og fejlen, der gjorde at CPR-numrene var offentliggjort, skyldtes en forkert opsætning af det digitale kort.
Det skriver Allerød Kommune blandt andet i en opdatering, hvor kommunen også svarer på de mest stillede spørgsmål.
Læs også
Ikke tegn på misbrug
Der er ikke noget, der tyder på, at oplysningerne er blevet misbrugt, lyder det.
"Vi har generelle statistikdata for, hvor mange forespørgsler det digitale kort har haft. Disse data viser ikke tegn på unormal aktivitet i perioden," skriver kommunen.
Da der var tale om en fejl, er der dog ikke data på, om der er nogen, der har tilgået de personlige oplysninger.
"Det digitale kort burde ikke kunne udstille personoplysninger, og systemet logger derfor ikke denne type data. Det beror på en fejl, at systemet viste personoplysninger. Vi har derfor ikke logning af disse data og kan ikke be- eller afkræfte, om dine oplysninger er blevet tilgået i perioden," fremgår det af orienteringen fra Allerød Kommune.
Læs også
Her gentager kommunen, hvad der tidligere er blevet meldt ud om, at det krævede en målrettet søgning at finde frem til informationerne. Det fortalte kommunaldirektør Morten Knudsen også i forbindelse med lækket:
- Det har krævet en målrettet søgning og en del manuelle trin for at kunne se de angivne persondata. Derfor er det kommunens vurdering, at sandsynligheden for, at de pågældende cpr-numre er blevet set af nogen, relativt lille, sagde han til Sjællandske Nyheder efter offentliggørelsen af datalækket.
Styrker interne procedure
Allerød Kommune fjernede de personlige oplysninger i forbindelse med, at lækket blev opdaget. Datalækket er anmeldt til Datatilsynet og det forventes, at tilsynet svarer tilbage indenfor et par uger.
Efter datalækket har kommunen gjort en række tiltag, lyder det.
Man har blandt andet styrket de interne procedurer, der er indført tydelige markeringer i de interne systemer af de data, der ikke må deles, og der bliver ført større kontrol med det digitale kort.
Der var dog ifølge Allerød Kommune også en høj sikkerhed før:
"Kommunens hjemmesider, det digitale kort og øvrige systemer, er og har hele tiden været beskyttet af en lang række sikkerhedssystemer, der skal forhindre hackere i at få adgang til oplysninger, der ikke er offentlige."
Sådan kunne oplysningerne tilgås
For at finde frem til CPR-nummer og navn, som blev vist sammen med den adresse eller matrikel, borgeren er medejer af, skulle man igennem en række manuelle trin:
- Gå ind på kommunens hjemmeside
- Åbne kommunens digitale GIS-kort
- Sætte kryds i et felt i menuen, så boligens ”matrikel – ejerforhold” også blev vist
- Klikke sig ind på en konkret adresse
- Klikke sig frem til 5 ud af 5 pop op-vinduer med forskellige offentlige oplysninger om boligen
Det har således krævet en målrettet søgning og en række manuelle trin at få adgang til personoplysningerne. Det ændrer dog ikke på, at det teknisk set har været muligt.
Får borgerne erstatning?
Har du fulgt med i kommentarsporene på sociale medier, efter de berørte borgere blev orienteret, er du formentlig stødt på, at mange har spurgt ind til muligheden for at få erstatningen for krænkelsen af private oplysninger. Og det spørgsmål er kommunen tilsyneladende også blevet stillet.
"Allerød Kommune henholder sig til reglerne om erstatningsansvar på området og vil følge en eventuel afgørelse om erstatning. Vi vil ligeledes indgå i samarbejde med politiet om efterforskningsmæssige tiltag, hvis politiet anmoder os om det," skriver Allerød Kommune, der også svarer på, hvorfor orienteringen kom efter kommunens lukketid fredag.
"Vi prioriterede at orientere de berørte borgere hurtigst muligt i overensstemmelse med GDPR. Først på dette tidspunkt havde vi et fuldt overblik over, hvilke borgere der var berørt, og hvad der konkret var sket. Vi har fuld forståelse for, at det kan have skabt uro og frustration, at kommunen efterfølgende var lukket frem til mandag. Vi vurderede dog, at det var vigtigst, at borgerne hurtigst muligt fik besked og dermed mulighed for at tage deres forholdsregler, frem for at vente til mandag."