Kritik af KMD for manglende sikkerhed på udviklingsserver med personoplysninger

Datatilsynet har behandlet en sag, hvor KMD som databehandler oplevede et brud på persondatasikkerheden. Bruddet skete, da en server med personoplysninger blev kompromitteret.

Baggrund

KMD havde overtaget serveren via et virksomhedskøb af Avaleo. Ved fusionen blev undersøgelse og sikring af servere uden direkte betydning for produktionen nedprioriteret. Den kompromitterede server var ikke undersøgt nærmere og var ikke tilstrækkeligt sikkerhedsmæssigt beskyttet, selvom den indeholdt personoplysninger.

Serveren indeholdt en sikkerhedskopi af data fra et prioriteringsværktøj med fejlbeskrivelser, der inkluderede personnumre og login-oplysninger. Det kunne ikke udelukkes, at der havde været uautoriseret adgang til disse oplysninger.

Sagens kerne

Sagen drejer sig om, hvorvidt KMD havde implementeret tilstrækkelige tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger i overensstemmelse med Databeskyttelsesforordningen artikel 32.

Datatilsynet undersøgte sagen og fandt, at KMD ikke havde truffet passende sikkerhedsforanstaltninger. Dette førte til, at personoplysninger var blevet kompromitteret. Datatilsynet bemærkede, at KMD's sletning af data efter bruddet vanskeliggjorde fastlæggelsen af, hvilke kategorier af personoplysninger der var berørt, hvilket gjorde det svært for de dataansvarlige at overholde deres forpligtelser i henhold til Databeskyttelsesforordningen § 33.

KMD's håndtering

KMD foretog en manuel gennemgang af data for at identificere berørte dataansvarlige og registrerede. Efterfølgende blev der iværksat foranstaltninger som sletning af ældre data, begrænsning af adgangen til serveren og deaktivering af den anvendte software til uautoriseret adgang.

Afgørelse

Datatilsynet udtalte kritik af KMD for manglende overholdelse af Databeskyttelsesforordningens artikel 32.

Begrundelse

Datatilsynet lagde vægt på følgende:

• KMD erkendte utilstrækkelig sikkerhed for den behandling, der var berørt af bruddet.
• Bruddet kunne være undgået ved almindelige tekniske sikkerhedsforanstaltninger.
• Datatilsynet påpegede, at selvom sletning af data var fornuftigt for at håndtere bruddet, skulle KMD have sikret, at de dataansvarlige kunne få de nødvendige informationer til at efterleve Databeskyttelsesforordningen § 33. Dette burde have været muligt uden at beholde de faktiske personoplysninger.
• Datatilsynet fandt, at KMD som databehandler havde behandlet personoplysninger uden at have implementeret passende tekniske og organisatoriske foranstaltninger til at sikre dem mod ulovlig behandling.