Folkekirken bryder basal it-sikkerhedsregel: "Det må kirkerne ikke, og det burde de også vide, for det er så banalt dette her"

Usikker udmelding. En kirke blandt mange beder borgeren om at indsende cpr-nummer pr email, hvis vedkommende vil meldes ud af Folkekirken.

Det gejstlige Danmark har tilsyneladende ikke styr på it-sikkerheden.

Kirker i hele landet beder nemlig borgere om at sende cpr-numre i ganske almindelige emails, når de vil meldes ud af folkekirken eller melde deres børn til konfirmand-undervisning.

I det sidste tilfælde er det børnenes cpr-numre, der skal sendes til kirken med usikker e-post.

Dermed balancerer folkekirken på kanten af persondataloven og er direkte i strid med kirkeministeriets retningslinjer for håndtering af data.

Ifølge persondataloven må offentlige myndigheder ikke transmittere persondata ukrypteret over det åbne internet. Og selvom det i dette tilfælde er borgeren selv, der transmitterer data, tager Kirkeministeriet klar afstand fra den usikre praksis i kirkerne.

"Det må kirkerne ikke, og det burde de også vide, for det er så banalt dette her. Der er en række vejledninger om, hvordan de skal håndtere de data, så der er ingen undskyldning," siger Torben Stærgård, der er kontorchef for Folkekirkens IT hos Kirkeministeriet til Computerworld.

Han tilføjer, at han vil kontakte kirkerne og sørge for, at de retter ind.

"Jeg vil nu skrive ud til dem og fortælle dem, at denne her praksis ikke er i orden."

Sådan ser det ud, når man vil registrere sine børn som konfirmander i en sjællandsk kirke. Cpr-nummeret skal igen sendes på email.

Datatilsynet kritiserer

Fordi det ikke er kirkerne, der sender cpr-numrene på åben mail, er den usikre indsamling af data ikke direkte ulovlig.

Men ikke desto mindre møder kirkerne kritik fra Datatilsynet, der opfordrer kirkerne til at ændre praksis.

"Efter Datatilsynets opfattelse bør kirkerne ikke indrette sig således, at de opfordrer forældrene til at transmittere personnumre på en usikker måde. Dette følger af princippet om god databehandlingsskik, jf. persondatalovens § 5, stk. 1," hedder det i en mail fra tilsynet.

Computerworld har forsøgt at få en kommentar fra biskopperne for de stifter, hvis kirker indsamler cpr-numre på usikker vis.

Biskopperne har ved deadline ikke ønsket at medvirke på grund af et fire dage langt bispemøde, som har gjort, at de er utilgængelige for pressen.

Læs også: Jeg har mailet mig ud af folkekirken - så (skræmmende) let var det