Datatilsynet: Hul i KMD-system udgør klart brud på persondataloven

Illustration: KMD
Hvis anmeldelsen var faldet i 2018, hvor persondataforordningen træder i kraft, ville KMD stå til en bøde på 75 millioner kroner.

KMD’s pladsanvisningssystem har været utæt i 12 år og har derfor udgjort en potentiel CPR-kilde for svindlere og kriminelle.

Derfor udgør KMD’s system ifølge Datatilsynet et klart brud på persondatalovens §41 stk. 3, oplyser Datatilsynet til finans.dk.

Læs også: Konkurrent-ansat politianmeldt efter at have påpeget sikkerhedshul i KMD-system

KMD ville være i yderligere juridiske problemer, hvis den nye persondataforordning var trådt i kraft. For mens selskabet længe kendte til hullet i deres system, gik der mere end tre uger, før Datatilsynet fik nys om miseren.

Ifølge den nye persondataforordning, som træder i kraft til maj 2018, må der maksimalt gå 72 timer, fra man bliver klar over hullet, til Datatilsynet skal have besked.

Læs også: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Hvis bristen først var blevet indrapporteret i 2018, kunne det altså have resulteret i et økonomisk rap over fingrene til KMD på 75 millioner kroner.

Datatilsynet ønsker ikke som sådan at udtale sig om den igangværende strid mellem KMD og Esben Warming Pedersen, der anmeldte dem. Men af de to er der kun én, der har forbrudt sig mod persondataloven, fremhæver Datatilsynet.

Og det er KMD.

Læs også: KMD politianmelder konkurrent-ansat for hacking - det er optaget på video

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

Hvordan hænger dette sammen med dette, hvor Datatilsynet vil gå efter kommunerne, ikke KMD?: http://itwatch.dk/secure/ITNyt/Brancher/Sikkerhed/article9656313.ece

Jeg under mig også over, at det skulle være kommunens ansvar, når de faktisk forsøgte at følge op på det (så vidt jeg har forstået). Jeg har ikke abonnement - måske gemmer forklaringen sig nede i teksten.

  • 5
  • 0
#2 Jan Juul Mortensen

Hvordan det hænger sammen er et godt spørgsmål, data ejes af den enkelte borger men forvaltes af kommunen, der via et system købt fra en leverandør behandler disse data eller via en databehandler aftale overlader det til en anden, at behandle data via et system som der stilles til rådighed.

Overfører vi det på en bil, hvor sikkerhedssystemet fejler, vil det være producenten der kommer til, at udbedre fejlen og betale for dette idet fejlen tilskrives denne og ikke forhandleren. Så mon ikke KMD er den der endeligt kommer til, at stå for skud.

Jeg bryder mig ikke om den måde KMD agere på i denne sag, med mindre der er beviser for ond hensigt og misbrug af de tilegnede data, hvorfor lukker KMD ikke bare sagen fra begyndelsen af og siger pænt tak, afvisningen ansporer jo til søgning efter yderligere bevis på fejlen og forsøg på, at råbe højere. Endvidere tillader man sig, at kontakte arbejdsgiver, hvilket jeg klart vil mene er, at gå over stregen, den må give KMD en ordentlig en over fingrene.

  • 6
  • 0
#3 Anne-Marie Krogsbøll

Jan Juul Mortensen:

Tak for svar - din beskrivelse peger vel lidt på, at der er meget, der ikke er særligt afklaret omkring ansvar for vore persondata. Hvis det ikke er nok at indskrive i kontrakten, at leverandøren/databehandleren har ansvaret for sikkerheden (skal opfylde diverse regler), så er der vist mange steder i det offentlige, man kan få problemer. Helt berettiget, for det bør jo ikke være nok at lægge ansvaret over på andre via kontrakter. Man bør jo også følge op, og kontrollere, at leverandøren faktisk også passer godt nok på data.

For mig er det bare uklart, om kommunen har gjort nok i denne sag. Har de selv ekspertisen til at tjekke, om det er rigtigt, når KMD siger, at der ikke er en fejl? Men det bør de selvfølgelig have.

  • 1
  • 0
#4 Joe Sørensen

Jan har ret i det er kommunens ansvar at den data den forvalter bliver forvaltet lovligt. På samme måde er det din banks ansvar at data du afleverer dertil også bliver håndteret efter reglerne. Også selv om de bruger en 3. part.

Pointen er selvfølgelig at hvis underleverandøren stadig eksisterer, så kan man sende aben videre til ham. Dette kaldes regres. Det behøver slutbrugerne af systemet, ikke bekymre sig om. Deres forretning er jo ikke med 3. part. Hans data blev behandlet af kommunen. Derfor skal han anmelde fejlen til kommunen. Og så skal kommunen finde ud af at løse problemet.

Den korrekte måde at løse problemet på, er at han tager kontakt til kommunen. Kommunen underretter Datatilsynet og finder ud af hvad der har lavet programmet og kan rette fejlen. Derefter tager de kontakt til leverandøren, som laver en plan for at løse problemet. Alt dette skal ske på 72 timer. Derefter skal KMD løse problemet i forhold til planen. Kommunen fortæller datatilsynet at problemet er løst. Alt er godt og ingen modtager nogen straf.

Hvis man gør forkert i ovenstående, så vil datatilsynet rette en løftet pegefinger, som de også har gjort i dette tilfælde. Fra 2018 er denne straf ændret, så den bliver økonomisk og bliver tilpasset antallet af dage de ikke overholdte loven ganget med antallet af borgere der blev berørt. ( ca 5 mill. )

  • 2
  • 0
#5 Anne-Marie Krogsbøll

Tak for god forklaring, Joe Sørensen.

Så kommunens forseelse er måske, at man ikke straks gik til Datatilsynet? Det lyder rimeligt - jeg var ikke klar over, at alle tilfælde som disse skal inden om Datatilsynet. Men det er da en god ordning.

  • 2
  • 0
#8 Tore Green

Så kommunens forseelse er måske, at man ikke straks gik til Datatilsynet?

Ikke kun. Det er også kommunens ansvar at sikre at systemet er sikkert selvom de har hyret en leverandør. Hvis de ikke selv har kompetencerne kunne de have hyret ekstern hjælp til at lave revision af deres systemer eller have bedt leverandøren om dokumentation for at der var foretaget en ordentlig sikkerhedstest af systemet.

  • 2
  • 0
#9 Anne-Marie Krogsbøll

En af de væsentligste ændringer i de regler om databeskyttelse som træder i kraft næste år er at databehandlere (som KMD i denne sag) bliver selvstændigt ansvarlige og kan få høvl og bøder af Datatilsynet selvom de ikke er dataejere.

Tak for uddybninger, Tore Green. Jeg var ikke klar over, at databehandlere ikke er selvstændigt ansvarlige - det er da godt, at de bliver det. Jeg troede, at alle, der behandler data på en eller anden måde, havde ansvar for at gøre det forsvarligt. Mærkeligt, at det ikke er tilfældet allerede. Et kæmpe hul i sikkerheden, efter min mening.

  • 0
  • 0
#10 Hans Torm

Trist at vi igen diskuterer dette emne med denne vinkel. Det virkeligt dummme her er, at CPR-nummeret betragtes som hemmeligt i første omgang.

Pt. er hemmelige CPR numre den største blokering i forhold til nem og effektiv offentlig IT.

Det dumt og absolut unødvendigt. I et digitalt samfund er muligheden for unikt at identificere den enkelte person lidt den hellige gral. I Danmark har vi den mulighed men insisterer på at spænde ben for os selv ved at have CPR nummeret hemmeligt og følsomt.

Var det ikke hemmeligt ville man snildt kunne lave funtioner hvor du kan henvise til en anden person på CPR nummer, og få bekræftet nummerets gyldighed. Dette betyder selvfølgelig ikke at systemet skal give andre data tilbage, da de i sagens natur kan være private eller direkte personfølsomme, men bare det at kunne bekræfte at du har skrevet et korrekt, gyldigt CPR nummer fjerner så mange fejlscenarier i interaktioner mellem private og det offentlige, at det er helt til grin at det er ulovligt.

  • 0
  • 0
#12 Gert Madsen

Pt. er hemmelige CPR numre den største blokering i forhold til nem og effektiv offentlig IT.

Man har brug for en nytænkning af personnummeret. Nummeret skal ikke være informationsbærende. Det skal nok heller ikke være et eentydigt nummer, som det nuværende, hvor en betragtelig del af befolkningen er i stand til finde ejermanden til en sygejournal, de fejlagtigt er kommet til at kigge på.

Der er mange hensyn at tage, hvoraf en god del, efter min mening, vægter tungere, end "nemt og effektivt".

  • 1
  • 0
Log ind eller Opret konto for at kommentere