KMD har overtrådt sin databehandleraftale med Ballerup Kommune ved at it-selskabet på egen hånd har kopieret data fra kommunens system til KMD’s udviklingsserver. Det kommer nu frem i forbindelse med sagen om hackingen af et KMD-system, som Version2 kunne afsløre tidligere på ugen.
Den ulovlige dataoverflytning fremgår af Ballerups anmeldelse til Datatilsynet, som Version2 har fået aktindsigt i:
»Såvidt oplyst fra KMD A/S, har KMD i strid med databehandleraftalen flyttet persondata fra kommunens anvendelse af KMD Nexus' til KMD's udviklingsplatform. Der har siden være indbrud på KMD's udviklingsplatform, hvorfor der er risiko for at disse persondata er lækket. Det omfatter ifølge KMD foreløbigt 25 personnumre for borgere i Ballerup kommune.«
Hackingen af KMD's Nexus-system har medført brud på persondatasikkerheden i form af lækkede cpr-numre - hvilket altså kunne ske fordi der lå persondata på udviklingsplatformen. Det vides på nuværende tidspunkt ikke om der er sket offentliggørelse, ændring , tilintetgørelse eller tab af personoplysninger.
46 anmeldelser af databrud
Ballerup er langt fra alene om at have anmeldt lækket til Datatilsynet. Tilsynet har tidligere oplyst til Version2, at d. 9. maj 2019 har man journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med en sikkerhedshændelse vedrørende KMD Nexus. Flere anmeldelser kan komme til senere.
Ballerup Kommune modtog besked fra KMD om bruddet d. 26. april. KMD oplyste endvidere at sikkerheden var genoprettet. Hændelsens varighed er endnu ikke oplyst fra KMD.
Ifølge anmeldelsen til Datatilsynet vides det ikke, om der har været interesse for persondata, idet bruddet har bestået i at mine bitcoins på en udviklingsserver i KMDs miljø.
Men persondata har været tilgængelige under bitcoin mining-indbruddet på udviklingsserveren.
KMD har oplyst til kommunen, at firmaet har fjernet de uautoriserede adgange. Som en ekstra sikkerhedsforanstaltning har Ballerup kommune efterfølgende ændret adgangskoder til driftsmiljøet.
Kommunen har taget kontakt til KMD og bedt firmaet dokumentere overholdelse af databehandleraftalen.
KMD har ingen kommentarer til de nye oplysninger.