Sagerne vælter ind: Kommunerne har anmeldt 136 sikkerhedsbrud i Aula siden nytår

Jeg tænker man tester sit system inden man sætter det i drift. En del af den test er at man kan holde folks adresser hemmelige. Kan man ikke det så skal systemet ikke sættes i drift, da det ikke overholder lovgivningen - og ikke lever op til kravene. Men tester man ikke sit systyem og ser man ikke alvorligt på lovoverholdelse, så kan man gå i drift. Konsekvensen bliver så at man må skjule alle adresser til man har fået fikset problemet - ikke lige særlig hensigtsmæssigt, men nødvendigt.

Når man så har udført denne test finder man jo så tydeligt en fejl i systemet, den må man så løse, evt. ved at gå tilbage til dataleverandør (KMD, CPR osv.) og bede dem om at sende de nødvendige information i integrationer, der muliggør lovoverholdelse og at systemet (AULA) kan fungere korrekt.

Man kan ikke vaske hænder ved at pege på en bagvedliggende leverandør. Det er AULA der alene bærer skylden, for ikke at være testet for om det lever op til krav og overholder lovgivningen.

Hvornår går det op for folk, at der er forskel på at information lagres tilgængelig for 5-10 let identificerbare mennesker, og på at samle information i databaser, som kan tilgås af tusinder.

-- DISCLAMER: Arbejder i Netcompany, har dog intet med AULA projektet at gøre!

Nå, den af vejen, problemet som jeg har forstået det (og har kun kendskab til sagen gennem medierne) er at KMD Elev har fået sat "adressen skal ikke være hemmelig" og AULA modtager derfor en adresse fra KMD Elev uden viden om at elevens adresse er hemmelig. Hvordan skal AULA så holde adressen hemmelig?

Dette er ikke et specifikt KMD <-> Netcompany problem, eller et KMD Elev <-> AULA problem, men et generelt problem, for enten skal man kunne stole på ens integrationer, eller også skal brugere forvente at skulle igennem uendelige mange checkbokse hver eneste dag, og have data der er ude af sync i de forskellige systemer?

"Jeg tror ikke nødvendigvis at Netcompany bærer en stor del af ansvaret. I en anden artikel udtaler KMD, at den specifikke fadæse i forhold til adressebeskyttelse, skyldes en procedure de forsvarer med "sådan har det altid været" (noget med et flueben). Det lugter lidt af, at kravspecifikationen er udarbejdet med lidt for meget 1:1 tilgang, uden at man har overvejet hvorvidt den funktionalitet man ønsker videreført til AULA, rent faktisk er hensigtsmæssig - og ikke mindst lovlig." Talsmanden fra KOMBIT har tidligere udtalt sig her, uden at give antydning af forståelse for GPDR, eller beskyttelse af private oplysninger iøvrigt. Hvornår går det op for folk, at der er forskel på at information lagres tilgængelig for 5-10 let identificerbare mennesker, og på at samle information i databaser, som kan tilgås af tusinder.

Hvilket produkt leveres så perfekt at intet går galt, og hvor man ikke forbedrer noget løbende?

I Kombit, der har anskaffet Aula til kommunerne, erkender man, at hver fejl er en fejl for meget, men at der løbende arbejdes på at forbedre og udvikle Aula på baggrund af de hændelser, der er sket.

Jeg tror ikke nødvendigvis at Netcompany bærer en stor del af ansvaret. I en anden artikel udtaler KMD, at den specifikke fadæse i forhold til adressebeskyttelse, skyldes en procedure de forsvarer med "sådan har det altid været" (noget med et flueben). Det lugter lidt af, at kravspecifikationen er udarbejdet med lidt for meget 1:1 tilgang, uden at man har overvejet hvorvidt den funktionalitet man ønsker videreført til AULA, rent faktisk er hensigtsmæssig - og ikke mindst lovlig.

Jeg forsøger vel at sige, at Netcompany højst sandsynligt bare har gjort det de er blevet bedt om. Hvorvidt de har gjort opmærksom på problematikken, og at det potentielt er blevet ignoreret, kan jeg ikke svare på.

Jeg har svært ved at læse af artiklen, om disse temmeligt graverende fejl slet ingen konsekvenser har for de involverede parter?

Her tænker jeg specifikt på Netcompany, som udvikler af Aula, samt Kombit som efter min forståelse har stået for kravsspecifikationen til selvsamme system.

Der er en grund til, at børn lever i adressebeskyttelse for deres biologiske forældre! – og så finder jeg det mildest talt besnærende, at man undskylder sig med, at de mange anmeldelser i virkeligheden "bare" dækker over den samme fejl eller to.

Her er tale om børn, der kan blive dybt berørt af data-lækagen, og så virker det som om man mest af alt interesserer sig for at få det til at fremstå så uskyldigt som muligt for ikke at tabe ansigt.

Jeg savner, at der kan placeres et ansvar – samt at ansvaret har konsekvenser, når det ikke tages alvorligt nok!

Kan man ikke efterhånden kalde det en nedsmeltning?