Voldsom kritik af KMD fra kommuner i sag om persondata på hacket server

Data Protection Officer for flere kommuner fremsætter barsk kritik af leverandør, i sagen om kopiering af persondata fra produktionssystem til udviklingsserver, der blev hacket. Ballerup ønsker ekstern revision.

Ballerup og andre kommuners Data Protection Officer (DPO) har fremsat en barsk kritik af kommunens leverandør, KMD, i forbindelse med et databrud, der fandt sted i perioden fra 10. til 17. april i år, og som også berørte mange andre kommuner over hele landet.

Kritikken går blandt andet på, at udover at KMD ikke har overholdt kommunernes databehandleraftale, indeholder firmaets processer tillige ikke initiativ til at anonymisere persondata. Supportpersonale er ikke opmærksomme og er ej heller uddannet til at bekymre sig om ikke at sende og dele persondata og adgangskoder.

Ballerup Kommune har på denne baggrund fremsat interesse om en ekstern revision af leverandørens systemer.

KMD ønsker ikke at kommentere disse synspunkter overfor Version2.

46 anmeldelser om brud på persondatasikkerhed

Som Version2 tidligere har afsløret, havde Datatilsynet i midten af maj journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med ‘sikkerhedshændelsen’ på en KMD-server.

Ifølge KMD var motivet bag hackingen anvendelse af serveren til bitcoin-mining. Et unormalt højt resurseforbrug fik alarmklokkerne til at ringe hos firmaet.

Senere i maj kunne Version2 tillige afsløre, at KMD efter Ballerup Kommunes mening har overtrådt databehandleraftalen med kommunen, ved at firmaet på egen hånd har kopieret borgeres cpr-numre fra kommunens system til den hackede server, der omtales som en ‘udviklingsserver.’ Den er udstyret med bug-databasen Jira, der er bredt anvendt i softwareudvikling i forbindelse med rettelse af programfejl.

Udviklingsserveren er oprettet i 2009, og de ældste persondata på den hackede server stammer fra samme år.

Systemet befinder sig, så vidt det kan bedømmes ud fra den aktindsigt, Version2 har fremskaffet fra Ballerup Kommune, på en Microsoft-server i USA. Derfor mener kommunen, at databehandleraftalen er misligholdt.

Medarbejdere hos KMD har overført persondata fra systemet Nexus til udviklingsserveren. Produktionssystemet indeholder særdeles følsomme personoplysninger, herunder oplysninger om ‘misbrug af medicin, narkotika, alkohol m.v.’

Ifølge KMD er der dog udelukkende tale om, at cpr-numre er blevet kopieret til udviklingsserveren, som i Ballerups tilfælde omfatter mindst 25 borgeres oplysninger.

DPO - Data Protection Officer En Data Protection Officer er en rolle, som er fastsat i EU's GDPR-direktiv om persondata. DPO'en har en rådgivnings- og overvågningsrolle, og fungerer som kontaktperson for dem, hvis data en virksomhed eller organisation behandler. DPO'en rapporterer direkte til øverste ledelsesniveau og skal inddrages i alle spørgsmål ang. databeskyttelse i tide, så man kan tage højde for rådgivningen. En DPO fungerer i praksis altid som en slags konsulent – uanset ansættelsesform. Det er vigtigt for, at denne kan bibeholde distancen og armslængde-princippet.

De servicedesk-medarbejdere, der benytter udviklingsserveren, er ifølge KMD placeret i Danmark, mens 'second-line,' som består af udviklings- og dev-ops-teams, inkluderer polske medarbejdere placeret i Polen.

DPO: KMD-personale ikke uddannet til at bekymre sig om persondata og adgangskoder

I starten af maj, omkring d. 1. i måneden, ringer Data Protection Officer (se faktaboksen) Laura Strandgaard Rosenø, til Christian Norman Scheuer, som er vicepræsident i KMD’s afdeling ‘Sundhed & Social.’

Laura Strandgaard Rosenø er DPO for flere kommuner, herunder Ballerup, Furesø og Egedal. Hun opsummerer senere samtalen med Christian Norman Scheuer i en mail sendt til medarbejdere i de førnævnte kommuner, som alle er omfattet af databruddet.

Mailen indgår i den aktindsigt, Version2 har fremskaffet fra Ballerup Kommune om sagen. Indhold fra aktindsigten er i denne artikel gengivet uredigeret.

I mailen fra Laura Strandgaard Rosenø til medarbejdere i de tre kommuner, skriver hun:

»Jeg havde for knap to uger siden en længere snak med Christian over telefonen, da han ville undgå at udlevere oplysninger pr. mail, som kunne kompromittere deres sikkerhed. Han var meget lidt konkret, så forstod ikke helt hans frygt ;). Dog lovede han mig, at de kort efter vores snak ville flytte server og derved højne sikkerheden, hvilket stemmer overens med nogle af de nedenstående beskrevne initiativer. Mine umiddelbare tanker: Jeg er bekymret over, at deres processer ikke indeholder nogen form for initiativ til at anonymisere persondata – og at supportpersonale ikke umiddelbart virker opmærksomme og uddannet til at bekymre sig om ikke at sende/dele persondata og adgangskoder. Måske ser jeg spøgelser, men jeg læser ansvarsfraskrivelse på området, hvilket ikke gør mig tryg. Jeg er heller ikke imponeret over deres fortolkning af, hvornår de skal orientere dataansvarlig. Af nedenstående fremgår det, at de mener, at de skal underrette og det skal rettidigt – hvilket efter deres opfattelse først er, når KMD har fornødent overblik. I hht. art. 33, stk. 2 skal databehandler underrette uden unødig forsinkelse, hvilket jeg bestemt ikke mener, at de har gjort. Slutteligt er jeg slet ikke tilfreds med KMD’s forklaring på manglende sletning af data. At det er gavnligt at have som vidensbank for både KMD og deres kunder kan ikke bruges som undskyldning for, at data ikke slettes meget mere hyppigt – og at data som nævnt ovenfor anonymiseres automatisk.«

Laura Strandgaard Rosenø vil ikke deltage i videre dialog med KMD, da hun ikke mener, at en DPO skal tage dialog med databehandlere direkte.

Der er dog ikke kommet nye forhold til i sagen siden maj, der gør, at hun har ændret sit syn på leverandøren, meddeler hun til Version2.

KMD: Det er normal praksis i branchen

Den 10. maj skriver Laura Strandgaard Rosenø på Ballerup Kommunes vegne til Christian Norman Scheuer fra KMD. Hun stiller 37 spørgsmål om sagen.

KMD Nexus KMD Nexus er en platform til kommunerne, som giver mulighed for samle borgerforløb ét sted. Med platformen kan kommunen etablere samarbejder om forløb, der omfatter fx sundhed, omsorg og socialområdet, på tværs af forvaltninger og fagligheder. Målet er at spare dobbelt indtastninger og opslag i andre systemer. Data er automatisk ført ajour med serviceplatformen og kan udveksles med for eksempel Sundhedsplatformen, Servicebussen og støttesystemerne. Kilde: KMD

DPO'en har blandt andet spurgt firmaet, hvem der har sanktioneret, at persondata flyttes fra supportsystem til udviklingsserveren.

»Det er normal praksis i IT-Branchen, at man vælger at integrere sit primære Servicedesk værktøj med sit primære udviklingsværktøj. Det sikrer den hurtigste, mest præcise og mest sikre afgrænsning af kommunikation imellem support personale og udviklingspersonale. Det har således været en integreret del af vores udviklings- og vedligeholdelsesproces,« svarer Christian Norman Scheuer fra KMD.

Et andet spørgsmål lyder: Hvordan kan KMD redegøre for overførsel af persondata fra tidligere KMD system (Avaleo) til nuværende Nexus-udviklingsmiljø?

»Den berørte server indeholder servicedesk sager. At KMD modtager og opbevarer servicedesk sager fremgår som standard af nuværende og tidligere aftaler,« lyder noget af svaret fra firmaet.

Resten af svaret er sortmalet i aktindsigten.

Sortmalingen begrunder Jette Brøndum, som er chefkonsulent i Digitaliseringssekretariatet i Ballerup Kommune og afsender på aktindsigten, således:

»I flere af de fremsendte dokumenter har kommunen overstreget oplysninger om it-leverandøren KMDs tekniske indretninger og forretningsmæssige forhold, da disse oplysninger efter kommunens opfattelse er omfattet af undtagelsesbestemmelsen i offentlighedslovens § 30, nr. 2.«

Denne paragraf handler blandt andet om, at retten til aktindsigt ikke omfatter oplysninger om eksempelvis tekniske indretninger og driftsforhold, hvis disse oplysninger er af »væsentlig økonomisk betydning« for den person eller virksomhed, oplysningerne angår.

KMD: Vi anvender cpr-numre til fejlretning

Er det rigtigt forstået, at KMD selv beriger supportdata (fx med hele cpr-numre) for derved at sikre korrekt identifikation af konkrete sager, inden de sendes over i udviklingsmiljøet, spørger DPO Laura Strandgaard Rosenø i brevet til leverandøren.

»Det er korrekt at KMD medarbejdere såvel som kundens medarbejdere, i en mindre andel af sagerne har valgt at anvende hele cpr-numre som en del af fejlrettelsesprocessen, idet at de har vurderet, at der er et arbejdsbetinget behov for at kunne se de pågældende personoplysninger ifm. fejlretning eller lignende,« lyder svaret fra KMD.

I en tidligere mail til kommunen skriver Christian Norman Scheuer fra KMD, d. 1. maj:

»Det er som forklaret KMD’s opfattelse, at vores anvendelse af Jira, herunder den behandling af personoplysningerne der er foretaget heri, alene er sket som led i KMD’s vedligehold og support til Ballerup Kommune ifm. vores leverance på af KMD Nexus.«

Ifølge DPO’ens mening er databehandleraftalen ikke overholdt. Hun skriver i brevet med de 37 spørgsmål:

»Christian Norman Scheuer skriver (der er dog tale om den tidligere nævnte telefonsamtale, red.) i svar til Ballerup, at KMD nu vil satse på at sikre, at de tekniske detaljer tilrettes for derved at kunne opfylde kravene i de allerede indgåede databehandleraftaler fremfor at indgå nye databehandleraftaler. I den mellemliggende periode vil kommunerne have en databehandleraftale, som KMD ikke lever op til. Og tilsyneladende ikke har gjort det noget tidspunkt.«

Ballerup foreslog ny lovlig databehandleraftale

Kommunen sendte, som DPO’en hentyder til ovenfor, KMD et forslag til en ny databehandleraftale, hvor den amerikanske udviklingsserver hos Microsoft er med.

Det fremgår af forslaget, at leverandøren KMD »må overføre personoplysninger til følgende tredjelande: USA. Gyldigt overførselsgrundlag for overførslerne er: KMD har indgået en aftale med Microsoft Corporation, One Microsoft Way, Redmond, WA 98056, USA baseret på EU-kommissionens standardkontrakt for overførsel af personoplysninger.«

Som tidligere nævnt ville KMD dog hellere rykke udviklingsserveren hjem til egen matrikel, hvorefter betingelserne i den nuværende databehandleraftale skulle være overholdt. Den 1. maj skrev Christian Norman Scheuer til kommunen:

»KMD har naturligvis en databehandleraftale med den anvendte underdatabehandler (Microsoft, red.), men skal beklage at vi ikke har nået at få opdateret ”Underbilag 2 – Anvendte Databehandlere” siden vi den 29. marts blev bekendt med nødvendigheden heraf. Som forklaret er vores mitigerende plan hurtigst muligt og indenfor de kommende måneder at skifte værktøjer til et set-up der er underlagt den gældende databehandler aftale indgået ifm. brugen af KMD Nexus. Når vi er gået den vej i stedet for at starte med at forsøge at få opdateret databehandler aftalerne, så beror det på en vurdering af, at det tidsmæssigt ville være den hurtigste måde at få rettet op på situationen, ligesom vi forventer at vores nye værktøjer i højere grad også vil kunne hjælpe os med at håndtere personoplysninger på bedste vis. På sigt har vi altså ikke brug for ændringer i databehandler aftalen – men hvis I gerne ser en opdatering for den mellemliggende periode må I endeligt sige til.«

Sortmalede svar

KMD vedgår altså her, at databehandleraftalen ikke har været opfyldt. Men i et senere svar til Ballerups DPO skriver it-firmaet:

»Som nævnt ovenfor er det ikke KMD's opfattelse, at data er blevet overført ulovligt, men snarere som en led i at levere den udvikling og vedligehold, som vi er forpligtet til at levere efter aftalen.«

Et centralt spørgsmål fra DPO’en er: »Med hvilken begrundelse er disse persondata flyttet til udviklingsserveren?«

Hele svaret er sortmalet.

Lidt anderledes ser det ud med spørgsmålet om, hvorfor der ikke er anvendt pseudonymiserede data på udviklingsserveren. KMD svarer:

»Langt hovedparten af sagerne er uden persondata eller med pseudonymiserede data, men der findes også en andel af sager hvor en ansat hos en kunde eller KMD har vurderet at persondata har været nødvendige for at løse en given sag.«

Et andet spørgsmål lyder:

»Oven i vil vi gerne have en forklaring på, hvorfor at der ligger adskillige afsluttede sager (herunder flere år gamle sager) med persondata i jeres udviklingsmiljø? Hvorfor er disse sager ikke blevet slettet?«

Som tidligere nævnt er udviklingsserveren oprettet i 2009, og de ældste persondata på serveren stammer fra samme år.

Også her er hele svaret sortmalet.

Kommunen ønsker ekstern revision

Diskussionen mellem KMD og Ballerup Kommune er ikke slut endnu. Tidligere har kommunen spurgt:

»I forbindelse med de foranstaltninger, som I har foretaget for at forhindre at lignende hændelse sker igen, vil vi gerne have dokumentation for, at de beskrevne foranstaltninger er korrekte og tilstrækkelige. «

I en mail fra KMD d. 27. september svarer Christian Norman Scheuer:

»Jeg, og det samlede lederteam i KMD Sundhed og Social, har sammen med vores sikkerhedsteam i KMD vurderet, at de beskrevne foranstaltninger er korrekte og tilstrækkelige. Hvis I ønsker yderligere dokumentation, bedes I præcisere hvilken, og vi bør have en dialog om hvem der udfører og finansierer arbejdet.«

Kommunen ønsker også en ekstern revision.

Christian Norman Scheuer forholder sig i et svar til dette ønske:

»Interessen har vi noteret og det er primært dette punkt, som, vi mener, kræver dialog, hvis vi skal frem til en konkret plan. Vi skal som minimum have afklaret timing, omfang og finansiering af revisionen inden vi kan sætte en revision i gang. I øvrigt er vi i gang med en anden løsningsspecifik revision af KMD Nexus som jeg gerne ville drøfte om der kunne udgøre et tilfredsstillende grundlag. Hvis I ønsker yderligere bedes I indkalde til møde om dette.«

Kommunen har bedt om et møde med KMD til november.

Ballerup: Vi kunne godt tænke os en mere proaktiv tilgang

Version2 har spurgt Ballerup, om databruddet og misligholdelsen af databehandleraftalen får kommunen til at kigge sig om efter en ny leverandør.

Jens Kjellerup, der er digitaliseringschef i kommunen, svarer således:

»Vi er meget opmærksomme på vores pligt til efter GDPR kun at anvende ansvarlige databehandlere, og derfor går vi selvfølgelig grundigt til værks i vores undersøgelser. Det gør vi også i dette tilfælde.«

Kan borgerne i kommunen generelt være sikre på, at de it-leverandører Ballerup anvender, håndterer borgernes persondata på en måde, der giver tryghed og overholder lovgivningen?

»Vi arbejder løbende på at sikre borgernes data bedst muligt - herunder at al lovgivning til enhver tid overholdes - både af kommunen og af de leverandører, kommunen benytter. Som en del af dette arbejde går vi altid meget struktureret til værks, når der sker brud på sikkerheden. Det gør vi for at sikre, at både vi og vores leverandører lærer af de sikkerhedsbrud, der sker.«

Hos kommunen er der i øjeblikket ikke tanke på sanktioner overfor firmaet.

»Det centrale for os er, at vores borgeres data er sikre - ikke bod og bøder til KMD, så det har vi ikke overvejet endnu. Vi kunne godt tænke os en mere proaktiv tilgang fra KMD. Vi stiller vores spørgsmål ud fra vores forpligtelse til at følge op og belyse alle aspekter af sikkerhedsbruddet. Det letter vores arbejde væsentligt, hvis der i første omgang hurtigt bliver leveret konkrete svar på vores spørgsmål.«

Jens Kjellerup slutter:

»Vi vil fortsat stille krav til, at alle vores leverandører lever op til lovgivningen og de databehandleraftaler, vi har med dem. Ligeledes forventer vi, at leverandørerne arbejder positivt og proaktivt sammen med os, når/hvis der sker uheld eller brud på sikkerheden. I tilfælde af sikkerhedsbrud skærper vi tilsynet, som vi har pligt til, så vi kan forebygge gentagelser. Dette gælder for KMD som for alle andre leverandører.«

Version2 har, som nævnt øverst i denne artikel, stillet en række spørgsmål om sagen til KMD, der ikke ønsker at svare med henvisning til kundefortrolighed. Datatilsynet er, udover anmeldelsen af databruddet i maj, ikke bekendt med Ballerup Kommune og DPO’ens kritik.