Datatilsynet anmoder KL om redegørelse efter sikkerhedsbrist i forbindelse med brug af en cloud-løsning
18.04.11
Datatilsynet er via telefoniske henvendelser og omtale i medierne blevet opmærksom på, at der har været en sikkerhedsbrist i et køreprøvebooking system, som KL har haft overført til en cloud-løsning.
Ud over navne og personnumre mv. indeholder løsningen bl.a. oplysninger om køreprøver, herunder ikke-beståede og beståede prøver. Løsningen rummer behandling af fortrolige personoplysninger og er omfattet af anmeldelsespligten til Datatilsynet, og sikkerhedskravene i sikkerhedsbekendtgørelsens kapitel 1-3 finder anvendelse.
Datatilsynet har besluttet at undersøge sagen af egen drift. Tilsynet har anmodet KL om at redegøre for bl.a.:
Dataansvaret for beslutningen, hvorfor anmeldelsen til Datatilsynet ikke er ajourført med den nye databehandler, hvilke fysiske lokationer personoplysninger har været behandlet på (herunder om der har været tale om lokationer uden for EU), omfanget af sikkerhedsbristen (herunder har Datatilsynet anmodet om at der sker gennemgang af loggen), hvilken databehandleraftale der blev indgået, hvordan det er sikret, at alle personoplysninger nu er effektivt slettet hos Microsoft, samt KL's eventuelle underretning af de berørte personer om sikkerhedsbristen.
Klik her for at se Datatilsynets brev af 15. april 2011 til KL