Ballerup fik sin vilje efter læk: Revision af KMD-system og ny databehandleraftale på vej

Illustration: KMD
Gratis revision af fagsystem og et supportsystem, som opfylder databehandleraftale, er det foreløbige resultat af dialog mellem Ballerup Kommune og leverandør KMD efter persondatalæk på hacket server sidste år.

Efter møder mellem parterne i november og december er forståelsens lys ved at kaste sig over dialogen mellem Ballerup Kommune og KMD. Det fremgår af en aktindsigt, som Version2 har fremskaffet fra kommunen.

Som Version2 tidligere har afsløret, fremsatte Ballerup og andre kommuners Data Protection Officer (DPO) sidste år en barsk kritik af KMD.

Læs også: Voldsom kritik af KMD fra kommuner i sag om persondata på hacket server

Kritikken gik blandt andet på, at KMD ikke har overholdt kommunernes databehandleraftale, og at firmaets processer ikke indeholder initiativ til at anonymisere persondata.

Supportpersonale er ikke opmærksomme og er ej heller uddannet til at bekymre sig om ikke at sende og dele persondata og adgangskoder, lød det i en mail fra DPO’en til kommunerne.

Kritikken var affødt af et datalæk i april sidste år, hvor det i forbindelse med hacking af en cloud-server i USA kom frem, at CPR-numre var kopieret fra KMD's fagsystem Nexus til et supportsystem, der befandt sig på den amerikanske server, og som ikke var nævnt i KMD's databehandleraftale med kommunen.

Datatilsynet havde i midten af maj måned journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med den såkaldte sikkerhedshændelse fra mange kommuner.

De ældste persondata om Ballerup Kommunes borgere på den hackede server stammede fra 2009.

Nexus-systemet indeholder særdeles følsomme persondata, herunder oplysninger om ‘misbrug af medicin, narkotika, alkohol m.v.’ Ifølge KMD var der dog udelukkende tale om, at CPR-numre blev kopieret til udviklingsserveren.

Læs også: Ballerup: KMD overtrådte dataaftale - flyttede persondata til hacket udviklingsserver

Ny databehandleraftale på vej

Bølgerne gik højt imellem Ballerup og KMD i efteråret. Det handlede blandt andet om databehandleraftalen, som kommunen ikke mente var lovlig.

Hertil svarede leverandøren dengang:

»KMD har naturligvis en databehandleraftale med den anvendte underdatabehandler (Microsoft, red.), men skal beklage at vi ikke har nået at få opdateret 'Underbilag 2 – Anvendte Databehandlere' siden vi den 29. marts blev bekendt med nødvendigheden heraf. Som forklaret er vores mitigerende plan hurtigst muligt og indenfor de kommende måneder at skifte værktøjer til et set-up, der er underlagt den gældende databehandler aftale indgået ifm. brugen af KMD Nexus. Når vi er gået den vej i stedet for at starte med at forsøge at få opdateret databehandler aftalerne, så beror det på en vurdering af, at det tidsmæssigt ville være den hurtigste måde at få rettet op på situationen (...) På sigt har vi altså ikke brug for ændringer i databehandleraftalen.«

Sådan skrev KMD-chef for Sundhed & Social, Christian Norman Scheuer, til kommunen sidste år.

Men nu er KMD med på at ændre databehandleraftalen.

»Skal vi ikke hurtigst muligt få et møde i kalenderen, hvor vi drøfter, hvordan vi får revideret aftalen således, at vi sikrer, at I også kan blive trygge ved aftalen,« skriver Christian Norman Scheuer til Ballerup 29. november.

Jens Kjellerup, der er digitaliseringschef i Ballerup Kommune, gør overfor Version2 opmærksom på, at man aktuelt er i gang med at få den nye databehandleraftale afklaret på indhold. Den endelige aftale foreligger derfor ikke på nuværende tidspunkt.

Gratis revision af fagsystem

Et andet ønske fra Ballerups side var en ekstern revision af KMD’s fagsystem. Sidste år lød svaret fra KMD’s Christian Norman Scheuer således:

»Interessen har vi noteret, og det er primært dette punkt, som, vi mener, kræver dialog, hvis vi skal frem til en konkret plan. Vi skal som minimum have afklaret timing, omfang og finansiering af revisionen, inden vi kan sætte en revision i gang. I øvrigt er vi i gang med en anden løsningsspecifik revision af KMD Nexus, som jeg gerne ville drøfte, om der kunne udgøre et tilfredsstillende grundlag.«

Lillejuleaftensdag lagde KMD så en pakke under træet: En revision af Nexus udført af konsulent- og revisionsvirksomheden PWC, ‘uden beregning’, som det udtrykkes i en mail fra KMD. Det sker i forbindelse med en ny SKI-aftale (Staten og Kommunernes Indkøbsservice), der skal landes 19. februar i år.

Nyt supportsystem

Et af den kommunale DPO’s kritikpunkter sidste år var som nævnt, at supportpersonale ikke er opmærksomme og ej heller uddannet til at bekymre sig om ikke at sende og dele persondata og adgangskoder.

De servicedesk-medarbejdere, der benyttede den hackede udviklingsserver, var ifølge KMD placeret i Danmark, mens 'second-line,' som består af udviklings- og dev-ops-teams, inkluderede polske medarbejdere placeret i Polen.

Nu har KMD tilbudt kommunen at deltage i pilotafprøvningen af support-platformen Servicenow. I den forbindelse har leverandøren fremsat en handleplan for implementering af Servicenow for KMD Nexus, samt en proces for afhjælpning af fejl og mangler.

På grund af sortmaling i den aktindsigt, Version2 har fremskaffet, er det ikke muligt at sige, hvad planen går ud på.

Ifølge digitaliseringschef Jens Kjellerup er kommunen aktuelt i gang med at afklare med KMD, hvad skiftet egentlig betyder, blandt andet set i lyset af den såkaldte EG-sag.

Som Version2 tidligere har skrevet, kunne leverandøren af Herning Kommunes økonomisystem, EG A/S, ikke garantere, at personoplysninger ikke blev behandlet i tredjelande, da Servicenows medarbejdere i f.eks. Indien kan være ansvarlige for at implementere globale sikkerhedsopdateringer. Det medførte alvorlig kritik fra Datatilsynet.

Læs også: Datatilsynet udtaler alvorlig kritik: Underleverandør kunne ikke garantere sikker opbevaring af CPR-numre

Klare mål for at være GDPR-compliant

Ballerup ønsker, at support og udviklingsønsker håndteres fremadrettet i separate systemer.

Kommunen har spurgt KMD om, hvorvidt henvendelser i Servicenow kan anonymiseres, på baggrund af at KMD som tidligere nævnt havde kopieret CPR-numre til det oprindelige supportsystem.

Jens Kjellerup forklarer til Version2, at kommunen har haft en række møder med KMD, hvor Ballerup har gjort klart, hvad der skal til, for at man anser, at løsninger og håndtering af data er tilfredsstillende og i henhold til lovgivning og Datatilsynets vejledninger.

Ballerup har tidligere påpeget, at medarbejdere både i KMD og kommunen skal instrueres i ikke at bruge personoplysninger i forbindelse med supportsager og udviklingstiltag.

Hertil kommenterer Jens Kjellerup:

»Vi synes, dialogen er positiv, og vi har helt klare mål for at være fuldstændigt compliant med GDPR og Datatilsynets vejledninger i vores arbejde med KMD i denne sag.«

Datatilsynet har i denne uge udtalt, at der generelt er der mange tilfælde, hvor der under udviklingen af nye systemer og i testsituationer sker brud på persondatasikkerheden. Derfor indskærper myndigheden, at alle produktionsdata skal undergives en sikkerhed, der som minimum bør være på niveau med det, der gælder for produktionsmiljøet.

Læs også: Datatilsynet indskærper: Dataansvarlige glemmer at informere borgere om sikkerhedsbrud

Ingen problemer i andre fagsystemer

Version2 har spurgt Jens Kjellerup, om Ballerup Kommune føler, at sagen er lukket af, nu hvor man har fået en ny dataunderbehandleraftale, en ‘gratis’ PWC-revision af Nexus og ny servicedesk-platform.

»Ballerup Kommune anser ikke sagen for afsluttet, før vi kan konstatere, at alle processer og løsninger samt de tilhørende kontrakter og databehandleraftaler er ‘inden for skiven.’ Den ’gratis’ PWC-revision er bare et lille element i sagskomplekset.«

Har I på baggrund af forløbet tiltro til, at andre af KMD’s fagsystemer, som I benytter ikke også har tilsvarende problemer?

»Vi har ikke kunnet konstatere, at der skulle være tilsvarende problemer i andre KMD-løsninger. KMD har ligeledes oplyst, at situationen som beskrevet alene knytter sig til den enhed, der udvikler og supporterer Nexus. Vi er selvfølgeligt løbende opmærksomme på, om der skulle være andre løsninger med tilsvarende problemer.«

KMD ønsker ikke at kommentere sagen, men skriver dog på mail:

»Helt generelt, så er det i løbet af en kontraktperiode ikke usædvanligt, at der opstår behov, der giver anledning til justering af en given kontrakt. Derfor har vi selvfølgelig altid en løbende dialog med vores kunder, så vi kan tilpasse deres behov. Når det er sagt, er det selvfølgelig vigtigt for KMD, at vores kunder altid kan have tillid til vores fortrolighed, derfor kommenterer vi ikke specifikke kundeforhold eksternt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere