Datatilsynet: 'Meget kritisabelt' at KL lagde køreprøvesystem i skyen

KL lagde dataene i kommunernes køreprøvesystem hos først NNIT og siden Microsoft, men havde slet ikke lov til at bestemme over dataene, vurderer Datatilsynet. Samlet set var det 'meget kritisabelt'.

Datatilsynet kritiserer nu officielt KL for at have overtrådt reglerne i forbindelse med driften af det system, som håndterer køreprøver med cirka 80.000 elever og 2.500 kørelærere.

Kommunernes Landsforening, KL, havde i første omgang overladt driften af systemet til NNIT, men valgte senere at flytte det til Microsofts cloud computing-platform Windows Azure.

I forbindelse med den flytning var en fejlkonfiguration skyld i et sikkerhedshul, og det fik Datatilsynet til at tage sagen op.

Læs også: Køreprøveskyen var pokkers utæt: Datatilsynet går ind i sagen

Nu viser det sig, at KL slet ikke havde hjemmel til at flytte rundt på dataene i køreprøvesystemet, skriver Datatilsynet. Da systemet indeholder oplysninger som CPR-numre, skulle det anmeldes til Datatilsynet, men i anmeldelsen er det formelt stadig kommunerne, som står som dataansvarlige.

Det er kun de dataansvarlige, som kan bestemme at flytte dataene, og derfor skulle KL have været opgivet som dataansvarlig, hvis KL skulle have flyttet systemet til NNIT eller Microsoft uden at bryde reglerne.

Læs også: Datatilsynet barberer unødvendigt bøvl ved cloud computing væk

Tilsvarende skulle NNIT og Microsoft have været opgivet som såkaldte databehandlere. Datatilsynet vurderer også, at begrænsede data fra systemet kan have været tilgængelige for Microsoft af hensyn til driften af Windows Azure, men at det ikke er et brud på persondataloven, fordi Microsoft har en Safe Harbor-aftale med EU.

Samlet set vurderer Datatilsynet, at KL's håndtering af personoplysningerne i køreprøvesystemet har været 'meget kritisabel'.

Kommentarer (12)

Pia Petersen

for Datatilsynet. Hvad skulle vi dog gøre uden dem? Træde ind i det 21nde århundrede? Jeg kommer til at tænke på det amerikanske "Motion Picture Association of America" film rating system. Enormt vigtig institution hvis enorme bidrag til verden er udstede hysteriske ratings der er alt andet end i sync med virkeligheden. De stakkels film der rammes må tage store tab på helt forældede præmisser.

Rune Larsen

Datatilsynets funktion i samfundet bliver vigtigere for hver dag der går da nye former for personlige data hele tiden digitaliseres og udstilles på nettet.

Interessant at datatilsynet accepterer Microsoft som databehandler på baggrund af den gamle, hullede Safe Harbour-aftale, til trods for, at nye EU-regler er på trapperne.

http://en.wikipedia.org/wiki/Safe_Harbor_Principles#Criticism_and_Evalua...

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Søren Holm

Hold dog op med at pive over ligegyldige detaljer. Om man smider data på Azure, Amazon, eller en dedikeret server så har man da omtrent den samme sikkerhed. Hvad vil Datatilsynet have? At dataene skal ligge på den hardisk de startede med at udlevere dem på da KL fik dem?

Morten Andersen

Jeg kan ikke se principielle forskelle i brug af cloudtjenester. I mange år har staten m.m. outsourcet driften til CSC, IBM m.m. hvor løsningerne har kørt på deres mainframes som har stået på de pågældende virksomheders lokationer. Hvad er forskellen i.f.t. en applikation der kører på Windows maskine i Microsofts Azure sky? Maskinen står jo på Microsofts lokation, præcis som CSC mainframes står hos CSC. Måske ordet "sky" får folk til at tro dataene ligger hulter til bulter på internettet - det er jo slet ikke tilfældet!

Jens Henriksen

Skal vi ikke holde os til sagen i stedet for at bringe MPAA osv. ind i det - det er et IT medie vi skriver i, ikke IMDB.

Måske ordet "sky" får folk til at tro dataene ligger hulter til bulter på internettet - det er jo slet ikke tilfældet!

Sagen er jo netop, at persondata har været eksponeret for kompromittering/kompromitteret og det endda forværret via åbne forbindelser til CPR mv. - hvilket det skal være i ALLES interesse at forhindre. Især sålænge CPR åbenlyst kan misbruges til både identifikation og autentificering.

En anden alvorlig ting er, at hvis sikkerheden er hullet som her antydet, så er det heller ikke sikkert at man kan spore hvem der konkret har haft adgang til netop dine eller mine persondata. Hvis fx loggen på CPR trækket ender blindt på en systemaccount, og tusindvis af maskiner og brugere har haft adgang via siden nedlagte Azure ressourcer, så ønsker jeg god jagt. Jeg har dog ikke nogen viden om det konkrete setup, men den nævnte problemstilling er set før.

Det er bla. pga. det i sørgelig grad uddøende begreb "ansvar", at man har etableret den sagligt begrundede opdeling i dataejer og databehandler, og sagen her dokumenterer kun relevansen af at fastholde det princip. Det er ikke i modsætning til "det 21. århundrede", men derimod en af forudsætningerne for at vi undgår katastrofer med blotlægning af vores data.

Spørg gerne en spanier der kan huske Franco om hvad de synes om vores CPR system, udbredt samkøring af data, NemID osv.. Det var Europa for under 40 år siden. Prøv så at se på diktaturet i Rusland i dag; hvem vil gerne have sine persondata anvendt til afpresning af industrividen, politiske forhold osv.. Hvis man leder længe nok, har alle noget at skjule, og mange i DK har viden der kan høstes.

Erik Jacobsen

Hvad vil Datatilsynet have?

Datatilsynet ønsker vel blot at lovgivningen skal overholdes. Er der krav om at data skal ligge på servere på dansk grund, så skal udbyderen blot sørge for det. Længere er den ikke for Datatilsynet.

Om lovgivningen skal laves om, er en anden, og bestemt interessant, diskussion.

Pia Petersen

...nogen har skruet en løsning dårligt sammen og eksponeret hvad ikke eksponeres skulle - skal det vel ikke bruges til at obskure det faktum at personfølsomme data hverken er mere eller mindre "beskyttede" imod de frygtelige amerikanere om de ligger på en lokal harddisk eller i et datacenter et eller andet sted i verden. Læs evt seneste redegørelse om emnet udarbejdet af Kromann og Reumert: http://www.kromannreumert.com/da-DK/Nyheder/Nyheder/Pages/Myndighedernes.... Datatilsynet er en stopklods ift det offentlige Danmark kan udnytte mulighederne med cloud computing. Datatilsynet er en anakronisme.

Jesper Lund

...nogen har skruet en løsning dårligt sammen og eksponeret hvad ikke eksponeres skulle - skal det vel ikke bruges til at obskure det faktum at personfølsomme data hverken er mere eller mindre "beskyttede" imod de frygtelige amerikanere om de ligger på en lokal harddisk eller i et datacenter et eller andet sted i verden. Læs evt seneste redegørelse om emnet udarbejdet af Kromann og Reumert:

Forklar os lige hvordan den amerikanske regering skal bruge Patriot Act til at få adgang til [at misbruge] persondata hvis de befinder sig i Danmark?

Den nævnte redegørelse fra Kromann og Reumert skriver netop at Patriot Act giver langt flere muligheder for at få adgang til data end retsplejeloven.

Jesper Lund

Måske fordi Microsoft som den første store cloud leverandør i verden har indvilliget i at skrive under på EU Model Clauses?

Det har bare ikke nogen betydning. Selv hvis du kan stole på Microsoft, kan du ikke stole på en regering der har nærmest ubegrænsede beføjelser som i Patriot Act.

Jeg opbevarer off-site backup af ca 20 GB private data hos firmaet rsync.net, og jeg har skam stor tillid til folkene bag dette firma, som bl.a. har lavet denne fantastiske canary warrant (kunne være en inspiration for mange cloud udbydere)
http://www.rsync.net/resources/notices/canary.txt

Men jeg har absolut ikke tillid til den amerikanske regering, og derfor er mine backup data naturligvis klient-side krypteret (med duplicity) inden de forlader mit hjem. Så er der nemlig intet at misbruge.

Gert Madsen

"Ja, men hr. betjent, hvorfor skal jeg straffes for at køre for stærkt. Det gør alle de andre jo også".

Jeg synes det er godt at Datatilsynet tager fat på dette emne. Og ja, det kan godt være at CSC og andre i princippet også har dårlig sikring af vores data, som Kromann og Reumert nævner i deres rapport.
Men det kan da kun gå for langsomt med at få data sikret.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Programming in HTML5 with Javascript and CSS3 [20480]

Hvornår: 2015-10-01 Hvor: Østjylland Pris: kr. 19975.00

PowerPoint course experienced (conducted in English)

Hvornår: 2015-12-22 Hvor: Storkøbenhavn Pris: kr. 2950.00

Projektledelse

Hvornår: 2015-10-06 Hvor: Fyn Pris: kr. 18400.00

Modeldrevet. komponentbaseret udvikling af indlejret software

Hvornår: 2015-08-21 Hvor: Nordjylland Pris: kr. 18000.00

SharePoint 2013 Power User [55028]

Hvornår: 2015-10-01 Hvor: Østjylland Pris: kr. 7975.00