Journalnummer: 2021-431-0126
Resume
Datatilsynet har truffet afgørelse i en sag, hvor tilsynet på baggrund af anmeldelser af et brud på persondatasikkerheden fra en række kommuner startede en sag af egen drift over for kommunernes databehandler KMD.
Bruddet bestod i, at plejeforældre havde haft utilsigtet adgang til oplysninger om plejebørn i AULA.
Årsagen til bruddet var, at en ny funktionalitet i et system, som KMD anvendte som databehandler, ikke var blevet testet tilstrækkeligt, herunder hvordan funktionaliteten fungerede sammen med f.eks. AULA.
Datatilsynet fandt på den baggrund grundlag for at udtale alvorlig kritik af KMD.
Afgørelse
Datatilsynet modtog i perioden fra den 19. januar til den 21. januar 2021 anmeldelser om brud på persondatasikkerheden fra seks kommuner. Det fremgik af anmeldelserne, at en systemfejl i januar 2021 hos kommunernes databehandler, KMD A/S (herefter KMD), havde ført til bruddet på persondatasikkerheden, som havde medført, at plejeforældre uberettiget havde haft adgang til AULA.
Datatilsynet indledte på den baggrund den 1. marts 2021 en sag af egen drift over for KMD.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at KMD’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet modtog i perioden fra den 19. januar til den 21. januar 2021 seks anmeldelser om brud på persondatasikkerheden fra henholdsvis Skanderborg Kommune, Lemvig Kommune, Herning Kommune, Halsnæs Kommune, Haderslev Kommune og Tønder Kommune (Datatilsynets j.nr. 2021-442-11376, 2021-442-11365, 2021-442-11340, 2021-442-11339, 2021-442-11373 og 2021-442-11363). Anmeldelserne vedrørte det samme sikkerhedsbrud.
Det fremgik af anmeldelserne, at der var sket en overførsel af oplysninger om plejeforældre til AULA fra systemer, som KMD drev som databehandler for kommunerne, hvilket medførte, at plejeforældre uberettiget havde haft adgang til oplysninger om bl.a. plejebørn i AULA.
Af de anmeldelser af brud på persondatasikkerheden, som Datatilsynet modtog fra de seks ovenstående kommuner, samt fra de udtalelser, som tilsynet modtog fra andre berørte kommuner – Egedal Kommune, Læsø Kommune, Ringkøbing-Skjern Kommune, Tårnby Kommune, Samsø Kommune, Holstebro Kommune, Københavns Kommune, Horsens Kommune, Skanderborg Kommune, Billund Kommune, Struer Kommune og Lyngby-Taarbæk Kommune – fremgår det, at oplysninger om i hvert fald 23 plejebørn har været berørt af bruddet. Oplysningerne omfattede kontaktoplysninger og personnumre. Herudover har plejeforældrene haft adgang til AULA, hvor der kan fremgå andre personoplysninger.
Det fremgår videre af sagens oplysninger, at kommunernes databehandler KOMBIT A/S (herefter KOMBIT) også var involveret i hændelsen.
Datatilsynet anmodede den 1. marts 2021 KMD om en udtalelse til brug for sagens behandling. Datatilsynet sendte desuden den 11. marts 2021 en række yderligere spørgsmål til sagen. KMD besvarede Datatilsynets henvendelser i en udtalelse af 26. marts 2021.
Datatilsynet bad den 12. april 2021 KOMBIT om en udtalelse til sagen. KOMBIT besvarede Datatilsynets henvendelse i en udtalelse af 29. april 2021.
Datatilsynet bad den 11. maj 2021 de kommuner, der var berørt af bruddet, om en udtalelse til brug for sagens behandling. Datatilsynet modtog i perioden indtil den 26. august 2021 svar fra alle kommunerne.
2.1. KMD’s bemærkninger
Det fremgår af KMD’s udtalelse af 26. marts 2021, at Tønder Kommune henvendte sig til KMD den 18. januar 2021 for at gøre opmærksom på, at der var sket en overførsel af oplysninger om plejeforældre fra Institution I2 – som KMD drifter som databehandler for kommunerne – til AULA, der driftes af KOMBIT. KMD blev i den forbindelse opmærksom på bruddet og bekræftede det samme dag.
KMD har anført, at sikkerhedsbruddet involverede flere it-løsninger, der indgår i overførslen af oplysninger om plejeforældre, herunder KMD Institution I2, snitfladeløsningen WS10 og modtagersystemet AULA hos KOMBIT.
KMD har anført, at fejlen skyldtes, at en ny funktion, som KMD skulle implementere, medførte, at plejeforældre, der ikke skulle have adgang til AULA, utilsigtet fik adgang til AULA og oplysninger om plejebørn.
KMD har i den forbindelse anført, at årsagen til bruddet ikke kunne opdages af KMD ved test af de systemer, som KMD var ansvarlig for, idet fejlen kun – ifølge KMD – kunne opdages ved test i modtagersystemet AULA.
De test, som KMD foretog, bestod i at undersøge, om den nye funktion – hvor en aktiv indberetning om hvilke data som skal og ikke skal transmitteres – virkede efter hensigten. Det blev således testet om data blev korrekt videresendt efter den aktive indberetning, men ikke hvordan de transmitterede data blev anvendt i modtagersystemet AULA hos KOMBIT.
KMD har oplyst, at tests foregik ved at gå ind i brugergrænsefladen, fastsætte værdier og verificere at værdierne trådte korrekt i kraft ved transmission. Idet testen ikke inkluderede, hvordan data blev modtaget i modtagersystemet, kunne testen ikke klarlægge, hvordan de transmitterede data blev anvendt. KMD har i den forbindelse oplyst, at såfremt der var et testmiljø i modtagersystemet, kunne muligheden for fejlen være reduceret.
Den 18. januar 2021 – efter bruddet var blevet bekræftet af KMD – iværksatte KMD en analyse og berigtigelse af fejloverførslerne af oplysninger i databasen. Derudover blev en ny automatisk overførsel af oplysninger til AULA gennemført uden oplysninger om plejeforældre. En afslutningstest blev endvidere udført for at kontrollere, at ændringen havde løst problemet, hvilket blev bekræftet. Hændelsen blev herefter lukket og underretning om bruddet blev sendt til de dataansvarlige, svarende til de 19 kommuner, som var blevet berørt af hændelsen.
Datatilsynet har den 11. marts 2021 rettet henvendelse til KMD med et spørgsmål om hændelsen er identisk med en hændelse fra november 2020 (registreret med følgende journalnumre hos Datatilsynet: 2020-442-10386, 2020-442-10452, 2020-442-10445, 2020-442-10440, 2020-442-10419, 2020-442-10394, 2020-442-10396, 2020-442-10401, 2020-442-10410, 2020-442-10438). I en udtalelse af 26. marts 2021, har KMD oplyst, at de tidligere brud fra november 2020 ikke er identisk med den aktuelle hændelse. KMD har i den forbindelse oplyst, at bruddet i november 2020 angik løsningen KMD Institution I1 (og ikke I2).
KMD har anført, at i forbindelse med bruddet fra november 2020 blev personoplysninger transmitteret fra Pdata til KMD Institution I1, hvormed informationerne kunne indgå i den regelmæssige datatransmissionspakke til STIL ved brug af snitfladen WS10. Fejlen skyldtes en fejlfortolkning af snitfladedokumentationen fra Pdata, og indebar, at beskyttede oplysninger (navn og adresse) var tilgængelige for uvedkommende. Sikkerhedsbruddet fra november 2020 var desuden forårsaget af en menneskelig fejl, mens sikkerhedsbruddet fra januar 2021 – ifølge KMD – var forårsaget af tekniske forhold.
Datatilsynet udtalte ikke kritik i forbindelse med anmeldelserne.
2.2. KOMBIT’s bemærkninger
Det fremgår af KOMBIT’s udtalelse af 29. april 2021, at AULA får alle sine data fra STIL, og at alt administration af indhold i AULA foregår i kommunernes administrationssystemer, som eksempelvis KMD Institution I2, som løbende leverer data til STIL’s skolegrunddata gennem WS10 hos STIL.
Hver dag klokken 01:00 henter AULA samtlige opdateringer fra det seneste døgn for alle brugere af AULA gennem WS17, der er den snitflade, som AULA abonnerer på. AULA modtager således ikke data direkte fra KMD gennem WS10. Når ændringerne er hentet, opdaterer AULA alle ændrerede data med de opdaterede data. Der foretages ingen ændringer af disse data i AULA. Den dataansvarlige myndighed har ansvaret for, at data og opdateringer heraf er korrekte, og derfor vil et modtagersystem som AULA forudsætte, at data er korrekte, når de modtages fra den godkendte leverandør. AULA modtager således ikke data direkte fra KMD gennem WS10, men fra STIL gennem WS17.
KOMBIT har oplyst, at KOMBIT er databehandler i forbindelse med AULA, og Netcompany A/S er underdatabehandler. Netcompany A/S hjælper med at teste ændringer på AULA’s teststystemer, hvis andre leverandører anmoder om det. KOMBIT har hertil oplyst, at det er muligt at teste ændringer på AULA’s testsystemer, hvis kommunens leverandører anmoder om det. Tilsvarende er det muligt at teste data modtaget fra STIL gennem WS17 og behandlet i AULA, hvis kommunernes leverandører ligeledes anmoder om det.
Det er KOMBITs opfattelse, at det overordnede ansvar for hændelsen ligger der, hvor ændringerne initieres.
2.3. Kommunernes bemærkninger
Datatilsynet har ved brev af 11. maj 2021 rettet henvendelse til de 19 kommuner, som er blevet berørt af hændelsen med henblik på at indhente udtalelse til brug for sagens behandling. Flere af de involverede kommuner har i samarbejde afgivet et svar på Datatilsynets henvendelse, idet kommunerne anser en fælles kommunal opfølgning på problemstillingen som værende formålstjenesteligt.
Kommunerne har oplyst, at de finder det yderst kritisabelt, at KMD ikke har efterlevet deres forpligtelse, jf. databehandleraftalen, mellem kommunerne og KMD, til at følge egne procedurer for ændringshåndtering, med henblik på at sikre at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering.
Kommunerne har oplyst, at de på baggrund af databehandleraften har en berettiget forventning om, at KMD’s interne testprocedure og dialog/test med KOMBIT/AULA opfanger alvorlige fejl inden overgang til produktion. Kommunerne vil skærpe denne forventning overfor KMD.
Kommunerne har videre oplyst, at de vil lave en samlet henvendelse til KMD som opfølgning på den aktuelle hændelse. Henvendelsen vil indeholde en indskærpelse af overholdelse af gældende databehandleraftale. I den forbindelse skal KMD redegøre for, hvordan de fremadrettet vil teste ændringer af snitflader før ibrugtagen/drift – herunder hvordan det sikres:
- at snitfladen er end-to-end tjekket, så data afsendes og modtages korrekt
- at KMD løbende ajourfører proceduren for ændringshåndtering, således at nye funktioner testes behørigt, inden de overgår til produktionsmiljøet
- at KMD initierer dialog med KOMBIT i forbindelse med test af ændrede snitflader.
Kommunerne vil i øvrigt henstille KOMBIT til på ny at gøre deres samarbejdspartnere, herunder KMD, opmærksomme på de testmuligheder, der foreligger i AULA-miljøet.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af sagens oplysninger til grund, at det har været muligt for KMD at foretage test af den nye funktionalitets sammenspil med AULA, herunder ved selv at kunne foretage test i AULA.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at når der udvikles en ny funktionalitet til it-systemer, der skal behandle personoplysninger, skal ændringerne ske efter aftalte principper, hvor der overvejes mulige konsekvenser ved ændringen og planlægges test, som kan verificere, at sikkerhedskrav fortsat er opfyldt efter ændringen er gennemført.
For så vidt angår it-systemer, som databehandleren ikke selv er ansvarlig for, men hvor databehandleren er ansvarlig for væsentlige input i form af personoplysninger, er det Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at databehandleren skal skabe det fornødne overblik over egen it-arkitektur og it-miljø, herunder de systemer, som er integreret med andre systemer ved at levere eller modtage data, og hvor tab af integritet af personoplysninger, vil medføre en betydelig risiko for de registreredes rettigheder, og sikre en kortlægning af integrationerne og dertilhørende afhængigheder.
Som følge af ovenstående, påhviler der databehandleren en pligt til at melde kodeændringer i integrerede systemer ud til relevante dataansvarlige og/eller databehandlere for de integrerede eksterne systemer, inden de går i produktion. Disse krav skal sikre, at eksterne dataansvarlige og/eller databehandlere er rettidigt informeret om de planlagte ændringer og kan foretage hensigtsmæssige test af integritet af personoplysninger, som udveksles mellem de integrerede systemer.
Datatilsynet finder på den baggrund, at KMD – ved ikke at have udført passende tests af den nye funktion i KMD Institution I2 – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici der er ved KMDs behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har lagt vægt på, at de ændringer, KMD gennemførte, alene burde have været testet på baggrund af databeskyttelsesforordningens krav om passende sikkerhedsforanstaltninger. Datatilsynet har videre lagt vægt på, at diverse uddrag af kontrakter/databehandleraftaler indsendt af dataansvarlige kommuner indebærer, at de dataansvarlige med rette kunne forvente, at it-løsningen blev testet for den type fejl, der ledte til bruddet på persondatasikkerheden.
Datatilsynet finder, at det faktum, at fejlen opdages af brugere i kommunen kort tid efter ibrugtagning underbygger, at fejlen kunne være blevet fundet i forbindelse med en test.
Datatilsynet har endvidere lagt vægt på, at en ændring, som den der har ledt til dette brud, er et indgreb, som bør ske med ekstra opmærksomhed omkring hvilke konsekvenser ændringen kan have.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at KMD’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har betragtet det som en skærpende omstændighed, at tilsynet i november 2020 har behandlet en hændelse vedrørende de samme systemer, som leverer data til AULA. Datatilsynet er opmærksom på, at daværende hændelse ikke er identisk med aktuelle hændelse. Datatilsynet har dog tillagt det betydning, at daværende hændelse ligeledes blev opdaget af brugerne i steder for af databehandleren, der lavede ændringerne i it-løsningen, og at problemet med manglende test burde være løst tidligere.
Datatilsynet har noteret sig, at kommunerne vil lave en samlet henvendelse til KMD som opfølgning på den aktuelle hændelse, og at hændelsen vil indeholde en indskærpelse af overholdelse af gældende databehandleraftale.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).