I en konkret sag har Datatilsynet udtalt kritik af, at en databehandler i forbindelse med overtagelsen af et udviklings- og testmiljø fra en anden leverandør (før forordningen fandt anvendelse) ikke havde gennemført passende sikkerhedsforanstaltninger.
Da databehandleren erhvervede it-løsningen (i forbindelse med et virksomhedsopkøb) blev det ikke påset, i hvilket omfang en test- og udviklingsserver indeholdt oplysninger om fysiske personer. Serveren var til brug for udviklingsopgaver opkoblet mod netværk udenfor databehandlerens kontrol (internettet) og den blev flere år efter overtagelsen kompromitteret og benyttet uretmæssigt til at ”udvinde” kryptovalutaen Bitcoin. Serveren var på grund af den oprindelige klassifikation – som intern udviklingsserver, uden persondata – ikke undergivet databehandlerens ordinære driftssikkerhedssetup (patch- og sikkerhedspolitik).
Da den uretmæssige brug blev konstateret, blev det samtidigt fastslået, at serveren – alligevel – indeholdt personhenførbare informationer fra flere dataansvarlige.
Datatilsynet fandt, at bruddet kunne have været undgået, hvis der havde været indført helt almindelige tekniske sikkerhedsforanstaltninger (bl.a. firewall-regler), og at de etablerede sikkerhedsforanstaltninger derfor ikke kunne anses som passende. Årsagen hertil var primært, at risikovurderingen alene var baseret på den oprindelige beskrivelse af serveren som ”intern server” (uden personoplysninger).
Generelt om testmiljøer og produktionsdata
Generelt set skal Datatilsynet indskærpe, at der også i forbindelse med udvikling og test udvises den fornødne opmærksomhed, såfremt der sker behandling af oplysninger om fysiske personer. Der er konstateret flere tilfælde, hvor udviklere enten på egen hånd, i samarbejde med forretningen eller som aftalt led i udviklingen benytter produktionsdata for at sikre kvaliteten af løsningen.
Dette er der ikke – nødvendigvis – noget forkert i, så længe der foreligger en vurdering af risikoen for de registreredes rettigheder, og der i overensstemmelse med denne er etableret passende sikkerhed inden behandlingen påbegyndes, og at der i alle de tilfælde, hvor risikoen for den registrerede måtte være høj, er foretaget en konsekvensanalyse.
Lidt firkantet sagt gælder det, at hvis man ønsker at bruge produktionsdata, skal der som udgangspunkt være den samme sikkerhed på ens udviklings- og testmiljø som det, der er vurderet som passende i driftssetuppet.
Læs mere
Læs selve afgørelsen her.