Voldsom kritik af KMD fra kommuner i sag om persondata på hacket server

Illustration: KMD
Data Protection Officer for flere kommuner fremsætter barsk kritik af leverandør, i sagen om kopiering af persondata fra produktionssystem til udviklingsserver, der blev hacket. Ballerup ønsker ekstern revision.

Ballerup og andre kommuners Data Protection Officer (DPO) har fremsat en barsk kritik af kommunens leverandør, KMD, i forbindelse med et databrud, der fandt sted i perioden fra 10. til 17. april i år, og som også berørte mange andre kommuner over hele landet.

Kritikken går blandt andet på, at udover at KMD ikke har overholdt kommunernes databehandleraftale, indeholder firmaets processer tillige ikke initiativ til at anonymisere persondata. Supportpersonale er ikke opmærksomme og er ej heller uddannet til at bekymre sig om ikke at sende og dele persondata og adgangskoder.

Ballerup Kommune har på denne baggrund fremsat interesse om en ekstern revision af leverandørens systemer.

KMD ønsker ikke at kommentere disse synspunkter overfor Version2.

46 anmeldelser om brud på persondatasikkerhed

Som Version2 tidligere har afsløret, havde Datatilsynet i midten af maj journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med ‘sikkerhedshændelsen’ på en KMD-server.

Læs også: KMD anmeldt til Datatilsynet efter landsdækkende server-hack

Ifølge KMD var motivet bag hackingen anvendelse af serveren til bitcoin-mining. Et unormalt højt resurseforbrug fik alarmklokkerne til at ringe hos firmaet.

Senere i maj kunne Version2 tillige afsløre, at KMD efter Ballerup Kommunes mening har overtrådt databehandleraftalen med kommunen, ved at firmaet på egen hånd har kopieret borgeres cpr-numre fra kommunens system til den hackede server, der omtales som en ‘udviklingsserver.’ Den er udstyret med bug-databasen Jira, der er bredt anvendt i softwareudvikling i forbindelse med rettelse af programfejl.

Læs også: Ballerup: KMD overtrådte dataaftale - flyttede persondata til hacket udviklingsserver

Udviklingsserveren er oprettet i 2009, og de ældste persondata på den hackede server stammer fra samme år.

Systemet befinder sig, så vidt det kan bedømmes ud fra den aktindsigt, Version2 har fremskaffet fra Ballerup Kommune, på en Microsoft-server i USA. Derfor mener kommunen, at databehandleraftalen er misligholdt.

Medarbejdere hos KMD har overført persondata fra systemet Nexus til udviklingsserveren. Produktionssystemet indeholder særdeles følsomme personoplysninger, herunder oplysninger om ‘misbrug af medicin, narkotika, alkohol m.v.’

Ifølge KMD er der dog udelukkende tale om, at cpr-numre er blevet kopieret til udviklingsserveren, som i Ballerups tilfælde omfatter mindst 25 borgeres oplysninger.

De servicedesk-medarbejdere, der benytter udviklingsserveren, er ifølge KMD placeret i Danmark, mens 'second-line,' som består af udviklings- og dev-ops-teams, inkluderer polske medarbejdere placeret i Polen.

DPO: KMD-personale ikke uddannet til at bekymre sig om persondata og adgangskoder

I starten af maj, omkring d. 1. i måneden, ringer Data Protection Officer (se faktaboksen) Laura Strandgaard Rosenø, til Christian Norman Scheuer, som er vicepræsident i KMD’s afdeling ‘Sundhed & Social.’

Laura Strandgaard Rosenø er DPO for flere kommuner, herunder Ballerup, Furesø og Egedal. Hun opsummerer senere samtalen med Christian Norman Scheuer i en mail sendt til medarbejdere i de førnævnte kommuner, som alle er omfattet af databruddet.

Mailen indgår i den aktindsigt, Version2 har fremskaffet fra Ballerup Kommune om sagen. Indhold fra aktindsigten er i denne artikel gengivet uredigeret.

I mailen fra Laura Strandgaard Rosenø til medarbejdere i de tre kommuner, skriver hun:

»Jeg havde for knap to uger siden en længere snak med Christian over telefonen, da han ville undgå at udlevere oplysninger pr. mail, som kunne kompromittere deres sikkerhed. Han var meget lidt konkret, så forstod ikke helt hans frygt ;). Dog lovede han mig, at de kort efter vores snak ville flytte server og derved højne sikkerheden, hvilket stemmer overens med nogle af de nedenstående beskrevne initiativer.
 
Mine umiddelbare tanker:
 
Jeg er bekymret over, at deres processer ikke indeholder nogen form for initiativ til at anonymisere persondata – og at supportpersonale ikke umiddelbart virker opmærksomme og uddannet til at bekymre sig om ikke at sende/dele persondata og adgangskoder. Måske ser jeg spøgelser, men jeg læser ansvarsfraskrivelse på området, hvilket ikke gør mig tryg.
 
Jeg er heller ikke imponeret over deres fortolkning af, hvornår de skal orientere dataansvarlig. Af nedenstående fremgår det, at de mener, at de skal underrette og det skal rettidigt – hvilket efter deres opfattelse først er, når KMD har fornødent overblik. I hht. art. 33, stk. 2 skal databehandler underrette uden unødig forsinkelse, hvilket jeg bestemt ikke mener, at de har gjort. Slutteligt er jeg slet ikke tilfreds med KMD’s forklaring på manglende sletning af data. At det er gavnligt at have som vidensbank for både KMD og deres kunder kan ikke bruges som undskyldning for, at data ikke slettes meget mere hyppigt – og at data som nævnt ovenfor anonymiseres automatisk.«

Laura Strandgaard Rosenø vil ikke deltage i videre dialog med KMD, da hun ikke mener, at en DPO skal tage dialog med databehandlere direkte.

Der er dog ikke kommet nye forhold til i sagen siden maj, der gør, at hun har ændret sit syn på leverandøren, meddeler hun til Version2.

KMD: Det er normal praksis i branchen

Den 10. maj skriver Laura Strandgaard Rosenø på Ballerup Kommunes vegne til Christian Norman Scheuer fra KMD og stiller 37 spørgsmål om sagen.

Hun har blandt andet spurgt firmaet, hvem der har sanktioneret, at persondata flyttes fra supportsystem til udviklingsserveren.

»Det er normal praksis i IT-Branchen, at man vælger at integrere sit primære Servicedesk værktøj med sit primære udviklingsværktøj. Det sikrer den hurtigste, mest præcise og mest sikre afgrænsning af kommunikation imellem support personale og udviklingspersonale. Det har således været en integreret del af vores udviklings- og vedligeholdelsesproces,« svarer Christian Norman Scheuer fra KMD.

Et andet spørgsmål lyder: Hvordan kan KMD redegøre for overførsel af persondata fra tidligere KMD system (Avaleo) til nuværende Nexus-udviklingsmiljø?

»Den berørte server indeholder servicedesk sager. At KMD modtager og opbevarer servicedesk sager fremgår som standard af nuværende og tidligere aftaler,« lyder noget af svaret fra firmaet.

Resten af svaret er sortmalet i aktindsigten.

Sortmalingen begrunder Jette Brøndum, som er chefkonsulent i Digitaliseringssekretariatet i Ballerup Kommune og afsender på aktindsigten, således:

»I flere af de fremsendte dokumenter har kommunen overstreget oplysninger om it-leverandøren KMDs tekniske indretninger og forretningsmæssige forhold, da disse oplysninger efter kommunens opfattelse er omfattet af undtagelsesbestemmelsen i offentlighedslovens § 30, nr. 2.«

Denne paragraf handler blandt andet om, at retten til aktindsigt ikke omfatter oplysninger om eksempelvis tekniske indretninger og driftsforhold, hvis disse oplysninger er af »væsentlig økonomisk betydning« for den person eller virksomhed, oplysningerne angår.

KMD: Vi anvender cpr-numre til fejlretning

Er det rigtigt forstået, at KMD selv beriger supportdata (fx med hele cpr-numre) for derved at sikre korrekt identifikation af konkrete sager, inden de sendes over i udviklingsmiljøet, spørger DPO Laura Strandgaard Rosenø i brevet til leverandøren.

»Det er korrekt at KMD medarbejdere såvel som kundens medarbejdere, i en mindre andel af sagerne har valgt at anvende hele cpr-numre som en del af fejlrettelsesprocessen, idet at de har vurderet, at der er et arbejdsbetinget behov for at kunne se de pågældende personoplysninger ifm. fejlretning eller lignende,« lyder svaret fra KMD.

I en tidligere mail til kommunen skriver Christian Norman Scheuer fra KMD, d. 1. maj:

»Det er som forklaret KMD’s opfattelse, at vores anvendelse af Jira, herunder den behandling af personoplysningerne der er foretaget heri, alene er sket som led i KMD’s vedligehold og support til Ballerup Kommune ifm. vores leverance på af KMD Nexus.«

Ifølge DPO’ens mening er databehandleraftalen ikke overholdt. Hun skriver i brevet med de 37 spørgsmål:

»Christian Norman Scheuer skriver (der er dog tale om den tidligere nævnte telefonsamtale, red.) i svar til Ballerup, at KMD nu vil satse på at sikre, at de tekniske detaljer tilrettes for derved at kunne opfylde kravene i de allerede indgåede databehandleraftaler fremfor at indgå nye databehandleraftaler. I den mellemliggende periode vil kommunerne have en databehandleraftale, som KMD ikke lever op til. Og tilsyneladende ikke har gjort det noget tidspunkt.«

Ballerup foreslog ny lovlig databehandleraftale

Kommunen sendte, som DPO’en hentyder til ovenfor, KMD et forslag til en ny databehandleraftale, hvor den amerikanske udviklingsserver hos Microsoft er med.

Det fremgår af forslaget, at leverandøren KMD »må overføre personoplysninger til følgende tredjelande: USA. Gyldigt overførselsgrundlag for overførslerne er: KMD har indgået en aftale med Microsoft Corporation, One Microsoft Way, Redmond, WA 98056, USA baseret på EU-kommissionens standardkontrakt for overførsel af personoplysninger.«

Som tidligere nævnt ville KMD dog hellere rykke udviklingsserveren hjem til egen matrikel, hvorefter betingelserne i den nuværende databehandleraftale skulle være overholdt. Den 1. maj skrev Christian Norman Scheuer til kommunen:

»KMD har naturligvis en databehandleraftale med den anvendte underdatabehandler (Microsoft, red.), men skal beklage at vi ikke har nået at få opdateret ”Underbilag 2 – Anvendte Databehandlere” siden vi den 29. marts blev bekendt med nødvendigheden heraf. Som forklaret er vores mitigerende plan hurtigst muligt og indenfor de kommende måneder at skifte værktøjer til et set-up der er underlagt den gældende databehandler aftale indgået ifm. brugen af KMD Nexus. Når vi er gået den vej i stedet for at starte med at forsøge at få opdateret databehandler aftalerne, så beror det på en vurdering af, at det tidsmæssigt ville være den hurtigste måde at få rettet op på situationen, ligesom vi forventer at vores nye værktøjer i højere grad også vil kunne hjælpe os med at håndtere personoplysninger på bedste vis. På sigt har vi altså ikke brug for ændringer i databehandler aftalen – men hvis I gerne ser en opdatering for den mellemliggende periode må I endeligt sige til.«

Sortmalede svar

KMD vedgår altså her, at databehandleraftalen ikke har været opfyldt. Men i et senere svar til Ballerups DPO skriver it-firmaet:

»Som nævnt ovenfor er det ikke KMD's opfattelse, at data er blevet overført ulovligt, men snarere som en led i at levere den udvikling og vedligehold, som vi er forpligtet til at levere efter aftalen.«

Et centralt spørgsmål fra DPO’en er: »Med hvilken begrundelse er disse persondata flyttet til udviklingsserveren?«

Hele svaret er sortmalet.

Lidt anderledes ser det ud med spørgsmålet om, hvorfor der ikke er anvendt pseudonymiserede data på udviklingsserveren. KMD svarer:

»Langt hovedparten af sagerne er uden persondata eller med pseudonymiserede data, men der findes også en andel af sager hvor en ansat hos en kunde eller KMD har vurderet at persondata har været nødvendige for at løse en given sag.«

Et andet spørgsmål lyder:

»Oven i vil vi gerne have en forklaring på, hvorfor at der ligger adskillige afsluttede sager (herunder flere år gamle sager) med persondata i jeres udviklingsmiljø? Hvorfor er disse sager ikke blevet slettet?«

Som tidligere nævnt er udviklingsserveren oprettet i 2009, og de ældste persondata på serveren stammer fra samme år.

Også her er hele svaret sortmalet.

Kommunen ønsker ekstern revision

Diskussionen mellem KMD og Ballerup Kommune er ikke slut endnu. Tidligere har kommunen spurgt:

»I forbindelse med de foranstaltninger, som I har foretaget for at forhindre at lignende hændelse sker igen, vil vi gerne have dokumentation for, at de beskrevne foranstaltninger er korrekte og tilstrækkelige. «

I en mail fra KMD d. 27. september svarer Christian Norman Scheuer:

»Jeg, og det samlede lederteam i KMD Sundhed og Social, har sammen med vores sikkerhedsteam i KMD vurderet, at de beskrevne foranstaltninger er korrekte og tilstrækkelige. Hvis I ønsker yderligere dokumentation, bedes I præcisere hvilken, og vi bør have en dialog om hvem der udfører og finansierer arbejdet.«

Kommunen ønsker også en ekstern revision.

Christian Norman Scheuer forholder sig i et svar til dette ønske:

»Interessen har vi noteret og det er primært dette punkt, som, vi mener, kræver dialog, hvis vi skal frem til en konkret plan. Vi skal som minimum have afklaret timing, omfang og finansiering af revisionen inden vi kan sætte en revision i gang. I øvrigt er vi i gang med en anden løsningsspecifik revision af KMD Nexus som jeg gerne ville drøfte om der kunne udgøre et tilfredsstillende grundlag. Hvis I ønsker yderligere bedes I indkalde til møde om dette.«

Kommunen har bedt om et møde med KMD til november.

Ballerup: Vi kunne godt tænke os en mere proaktiv tilgang

Version2 har spurgt Ballerup, om databruddet og misligholdelsen af databehandleraftalen får kommunen til at kigge sig om efter en ny leverandør.

Jens Kjellerup, der er digitaliseringschef i kommunen, svarer således:

»Vi er meget opmærksomme på vores pligt til efter GDPR kun at anvende ansvarlige databehandlere, og derfor går vi selvfølgelig grundigt til værks i vores undersøgelser. Det gør vi også i dette tilfælde.«

Kan borgerne i kommunen generelt være sikre på, at de it-leverandører Ballerup anvender, håndterer borgernes persondata på en måde, der giver tryghed og overholder lovgivningen?

»Vi arbejder løbende på at sikre borgernes data bedst muligt - herunder at al lovgivning til enhver tid overholdes - både af kommunen og af de leverandører, kommunen benytter. Som en del af dette arbejde går vi altid meget struktureret til værks, når der sker brud på sikkerheden. Det gør vi for at sikre, at både vi og vores leverandører lærer af de sikkerhedsbrud, der sker.«

Hos kommunen er der i øjeblikket ikke tanke på sanktioner overfor firmaet.

»Det centrale for os er, at vores borgeres data er sikre - ikke bod og bøder til KMD, så det har vi ikke overvejet endnu. Vi kunne godt tænke os en mere proaktiv tilgang fra KMD. Vi stiller vores spørgsmål ud fra vores forpligtelse til at følge op og belyse alle aspekter af sikkerhedsbruddet. Det letter vores arbejde væsentligt, hvis der i første omgang hurtigt bliver leveret konkrete svar på vores spørgsmål.«

Jens Kjellerup slutter:

»Vi vil fortsat stille krav til, at alle vores leverandører lever op til lovgivningen og de databehandleraftaler, vi har med dem. Ligeledes forventer vi, at leverandørerne arbejder positivt og proaktivt sammen med os, når/hvis der sker uheld eller brud på sikkerheden. I tilfælde af sikkerhedsbrud skærper vi tilsynet, som vi har pligt til, så vi kan forebygge gentagelser. Dette gælder for KMD som for alle andre leverandører.«

Version2 har, som nævnt øverst i denne artikel, stillet en række spørgsmål om sagen til KMD, der ikke ønsker at svare med henvisning til kundefortrolighed. Datatilsynet er, udover anmeldelsen af databruddet i maj, ikke bekendt med Ballerup Kommune og DPO’ens kritik.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Tak til Tania Andersen for et kæmpearbejde.

Der er jo så meget at forholde sig til i den artikel, at det vil tage timer...Men en overordnet reaktion: Man skulle tro (og ville ønske), det var løgn!

KMD er et af de firmaer, som tager sig af allerflest af vore private tvangshøstede data, og så behandler de dem på den lemfældige og uansvarlige måde?

Hele forløbet afslører med lysende klarhed, at KMD simpelthen ikke tager ders opgave alvorligt, og at de er aldeles uegnede til at udføre opgaver for det offentlige. Det lyder som et firma, som ligger i ruiner bag facaden.

DPO lyder til at gøre et alvorligt ment arbejde for at komme til bunds i sagerne, stor ros herfra for det.

Men så går det alligevel galt for Ballerup Kommune, som dels forsøger at lovliggøre KMD's aftalebrud om underleverandører i 3. land ved simpelthen at lovliggøre det bagud. DET ER FOR SLAPT!!!! DER ER TALE OM UANSVARLIGHED, DER ALLEREDE ER SKET, EFTER DEVISEN "GÅR DEN, SÅ GÅR DEN". OG I HAR JO INGEN KONTROL OVERHOVEDET MED, HVAD DER FOREGÅR PÅ DEN ANDEN SIDE AF DAMMEN!

Og spørgsmålet om bøder og erstatninger forsøger man at snige sig uden om:
»Det centrale for os er, at vores borgeres data er sikre - ikke bod og bøder til KMD, så det har vi ikke overvejet endnu"

DET ER FOR SLAPT!! BORGERNES DATA ER JO TYDELIGVIS ALDELES USIKRE I KMD'S VARETÆGT, OG I HAR PLIGT TIL PÅ BORGERNES VEGNE AT SLÅ HÅRDT OG EFFEKTIVT NED PÅ DEN SLAGS UANSVARLIGHED MED BORGERNES PRIVATLIV.

Og: Datatilsynet er, udover anmeldelsen af databruddet i maj, ikke bekendt med Ballerup Kommune og DPO’ens kritik."

DET ER FOR SLAPT! SELVFØLGELIG SKAL DATATILSYNET GØRES BEKENDT MED HELE HISTORIEN, SOM JO INDHOLDER MEGET VIGTIGE OPLYSNINGER.

(Men hvor er Datatilsynets indsats i sagen? Er det også en af de sager, hvor Datatilsynet mener, at nu er der jo nogle andre, som løser problemet for dem, så behøver de ikke selv gøre noget?)

Så selv om DPO gør et stort og - har jeg indtryk af - velment arbejde, så lyder det til, at kommunen svigter med at følge op på det.

Hvis ikke denne sag er en af dem som kan udløse endnog en meget, meget stor millionbøde til KMD, så er der jo intet, der kan udløse bøder for datasjusk i Danmark!

Måske skulle det offentlige overveje at "tilpasse" deres mantra "Giv os dine data, du kan være helt tryg, giv os dine data, du kan være helt tryg, giv os dine data, du kan være helt tryg", så det lissom er fulgt med tiden og realiteterne?

  • 4
  • 2
Mogens Lysemose

KMD har tydeligvis brudt love, regler og kontrakter. Men når kunden ytrer ønske om revision begrundet i KMDs brud og uansvarlighed så svarer KMD:

vi bør have en dialog om hvem der udfører og finansierer arbejdet.

Wauv. Så det koster ekstra at sikre sig at KMD holder aftalen?

  • 6
  • 0
Anne-Marie Krogsbøll

Wauv. Så det koster ekstra at sikre sig at KMD holder aftalen?


Jeg er enig - men ud fra formuleringen kan jeg da få mistanke om, at kommunen har "glemt" at få indføjet en paragraf om ekstern revision i aftalen...

Hvis der faktisk er en sådan aftalt i kontrakten/databehandlerfaftalen, så burde der jo ikke være så meget at diskutere/skændes om.... men gad vide, hvad det så er endt med?

Det vil i hvert fald være en skandale mere, hvis KMD ender med at revidere sig selv internt....

  • 1
  • 0
Magnus Jørgensen

Supportpersonale er ikke opmærksomme og er ej heller uddannet til at bekymre sig om ikke at sende og dele persondata og adgangskoder.

Der er vel ikke nogle af KMD's kunder der ligger og opbevarer bruger passwords ?

For sådan noget gør man jo helst ikke.

  • 2
  • 0
M SW

Voldsom kritik nytter ikke noget. Det er utroligt at virksomheder så arrogante, ignorante og inkompetente som KMD bliver ved med at må lave defekte løsninger og være ligeglad med regler og love - Det er jo ikke ligefrem første gang.

  • 1
  • 0
Log ind eller Opret konto for at kommentere