Elever og lærere fra fem skoler i Sønderjylland har i flere uger haft persondata liggende frit tilgængeligt på internettet.
Skolerne oplyste ikke om datalækket før flere dage efter, at et hackerangreb var blevet opdaget og identificeret.
Datalækket berører elever og lærere på i alt fem skoler: EUC Syd, Sønderborg Statsskole, Gråsten Landbrugsskole, Privatskolen-Als og Sønderborg International School.
Ifølge DR blev angrebet opdaget 31. august.
8. september udsender IT-Center Syd, der står for de fem skolers it-drift, en meddelelse om, at elevernes og de ansattes data ikke har været i fare.
Men 22. september lyder meldingen, at hackere i virkeligheden har taget store datamængder, som var blevet eksponeret på internettet.
Flere af disse personfølsomme data berør altså mindreårige - hvilket i den europæiske persondataforordning (GDPR) er en særligt skærpende omstændighed i en eventuel GDPR-sag.
Til DR fortæller Birgitte Kastrup Hansen, der er vicedirektør på EUC Syd, at den lækkede data kan tælle cpr-nummer, adresser, telefonnumre, og sågar notater fra interne samtaler.
Disse data er lækket ved, at bagmændene har lagt oplysningerne ud på det mørke internet. Ifølge DR's korrespondent Henrik Moltke, der har set screenshots af det lækkede data, er sagen yderst alvorlig.
"Jeg har set screenshots med henvisninger til udredninger af funktionsnedsættelser, der er kørekort, alle mulige forskellige data, som har med børn og unge at gøre, og det er ikke godt."
Moltke kalder sagen "måske en af de mest alvorlige sager" i Danmark.