Datatilsynet traf den 23. februar 2022 afgørelse i en sag, hvor 30 kommuner i slutningen af 2019 og starten af 2020 havde anmeldt et brud på persondatasikkerheden til Datatilsynet.
Bruddet omhandlede, at en fejl i Aula medførte, at det fra den 24. november 2019 til den 20. december 2019 var muligt for en bruger A at tilgå en anden bruger B’s sikre filer i Aula, hvis bruger B ikke var logget ud af computeren, og bruger A loggede ind med eget NemID. Sikre filer er et område i Aula med følsomme personoplysninger, der kræver ekstra login.
Fejlen skyldtes en programmeringsfejl hos Netcompany i forbindelse med udviklingen af en ændring til loginløsningen i Aula.
Til brug for sagen indhentede Datatilsynet en udtalelse fra Gentofte Kommune, som var én af de 30 kommuner, der havde haft et sikkerhedsbrud, samt Kombit og Netcompany.
Datatilsynet fandt, at Kombit ikke havde levet op til reglerne om behandlingssikkerhed, da Kombit ikke havde sikret, at der blev foretaget tilstrækkelig test af Aula i forbindelse med ændringen af koden i Aula.
Datatilsynet lagde vægt på, at en fejl i udviklingen af løsningen medførte, at der ikke var korrekt styring af adgangsrettigheder i Aula.
Datatilsynet lagde endvidere vægt på, at Netcompany og Kombit ikke kunne blive enige om, hvilke tests der kunne forventes udført i forbindelse med udviklingsprojektet, og at de ikke kunne blive enige om, hvorvidt Netcompany agerede som underdatabehandler eller ej.
På den baggrund udtalte Datatilsynet alvorlig kritik af Kombit.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.
Læs mere om rollefordelingen mellem dataansvarlig og databehandler her.