*

Erhverv
0

Datatilsynet: KMD har brudt persondataloven - men skøjter uden om konsekvensen

Med den nye persondataforordning havde KMD risikeret en bøde på 75 mio. kr. - men den træder først i kraft i 2018.

KMD's it-system har været utæt i 12 år, hvor det har været muligt at få adgang til borgeres navne og cpr-numre i 80 kommuner.

Det er et direkte brud på persondataloven paragraf 41, stk. 3.

»Som databehandler er KMD forpligtet til at sikre, at man ikke kan få adgang til folks cpr-numre på den måde,« forklarer Jesper Vang, der er konstitueret kontorchef i Datatilsynet.

Men udover at KMD har brudt persondataloven, ville it-virksomheden også have været i alvorlige problemer med den kommende persondataforording.

For med den nye persondataforordning bliver det et krav, at virksomheder, der har et sikkerhedsbrist, skal oplyse det til Datatilsynet inden for de første 72 timer, efter de har opdaget bristet.

Der ville KMD for alvor have siddet i saksen, for it-giganten var bevidst om sikkerhedshullet i over tre uger før, de gjorde opmærksom på det overfor Datatilsynet.

Det kunne have udløst en bøde på 75 mio. kr. til KMD. Men forordningen træder først i kraft til næste år.

»Som reglerne er nu, kan vi kun udtale en kritik af KMD. Det er det eneste, vi kan gøre nu. Og så er det jo heldigt for KMD, at det er nu, det sker, og ikke om et år. Det er held i uheld,« siger Jesper Vang.

Nyheden om sikkerhedsbristet i KMD, der leverer it-løsninger til kommuner, kom frem tidligere i dag, efter at KMD valgte at politianmelde Esben Warming for at hacke deres system.

Efter KMD's eget udsagn har Esben Warming »udnyttet en brist i KMD's it-system til at skaffe sig adgang til stribevis af cpr-numre.«

Men Esben Warming fortæller, at det er et stort spin, for at KMD kan fjerne fokus fra deres sikkerhedsbrister. Han forklarer, at han forsøgte at gøre KMD opmærksom på problemer i selskabets it-systemer.

Det er ord mod ord, men uanset hvad, er det KMD, der har brudt persondataloven, slår Jesper Vang fast.

Tidslinje: Sikkerhedsbristet i KMD.

Tidslinjen er skrevet ud fra Mette Kaagaards udtalelser til Finans.

  • 17. maj bliver KMD kontaktet af Frederiksberg Kommune, som underretter KMD om, at der er et sikkerhedshul.
  • 18. maj bliver KMD kontaktet igen. Denne gang af DR, som fortæller, at de har kendskab til et sikkerhedshul i deres systemer.
  • 18.-23. maj: KMD eftersøger og finder ikke fejlen.
  • 24. maj: KMD finder og retter fejlen - efter eget udsagn.
  • 8. juni: KMD modtager en video fra DR, der beviser, at der er et sikkerhedsbrist.
  • 9. juni: KMD ser videoen igennem. Men de ser først videoen efter kl. 12, hvor Datatilsynet har lukket for deres telefoner.
  • 12. juni: KMD ringer til Datatilsynet og oplyser om sikkerhedsbristen. På grund af weekenden kunne det ikke lade sig gøre tidligere.
BRANCHENYT
Læs også