Artikel top billede

Datatilsynet farer i flæsket på KL over cloud-flop

En sikkerhedsbrist i det danske køreprøve-bookingsystem i skyen er ved at blive undersøgt af Datatilsynet. Læs tilsynets mange nærgående spørgsmål til Kommunernes Landsforening her.

Læs også:
Odense Kommune får nej til brug af Google Apps

Svenske cloud-kommuner skal granskes for lovbrud

Cloud computing er en ordentligt mundfuld at holde styr på - både teknisk og juridisk.
 
Det må Kommunernes Landsforening (KL) sande, efter Datatilsynet på eget initiativ er gået i haserne på KL's forsøg på at sende kommunernes køreprøvebooking ud i Microsofts Azure-sky.
 
KL har i starten af april allerede droppet skyen på grund af tekniske udfordringer ifølge Version2.
 
Udover den artikel er Datatilsynet af Dansk Kørelærer-Union blevet gjort opmærksom på sikkerhedsbrister i den indtil videre droppede cloud-løsning, der ifølge KL ellers skulle have tjent sig selv hjem allerede på et år.
 
Hvem behandler data hvor?
Efter det forgæves forsøg på at få kørekortbooking-systemet ud i skyen er det nu tilbage på NNIT's servere.
 
Udover at sluge den bet, skal KL i gang med at hoste nogle svar op til Datatilsynet på ikke færre end ni kritiske spørgsmål i den valgte cloud-løsning.
 
Datatilsynet kræver blandt andet en redegørelse for, hvilken rolle KL har spillet i forbindelsen med at sende køreprøvebooking-systemet ud i skyen.
 
"I forhold til overførslen til cloud-løsningen er det Datatilsynets indtryk, at beslutningen er truffet af KL og ikke hver enkelt kommune. Det rejser efter Datatilsynets opfattelse et spørgsmål om, hvorvidt KL reelt har handlet som dataansvarlig i denne henseende," skriver Datatilsynet i et brev til KL.
 
Kommunernes Landsforening skal også hoste op med, hvilke oplysninger såsom navne, personnumre og resultater af køreprøver samt ikke mindst, hvor mange personer, det drejer sig om.
 
Dertil kommer, at KL skal anmelde ændringer i behandlingen af køreprøveoplysninger.
 
"I kommunernes anmeldelser af 'Udstedelse af pas og kørekort' ses hverken Microsoft eller NNIT anført som databehandler," skriver Datatilsynet i sit brev til KL, som også efterspørger klarhed over, hvilke fysiske lokationer data er blevet sendt til.
 
"Hvis personoplysninger har været behandlet på lokationer uden for EU, bedes KL redegøre for, hvordan man har iagttaget persondatalovens paragraf 27," lyder det videre i brevet. 

Gennemsigtighed i løsningen

KL skal også levere en komplet oversigt over, hvilke systemer der føder køreprøve-bookingsystemet. 

"Det bedes endvidere oplyst, hvordan adgangen til data fra sådanne systemer sker, og om de opståede fejl kan have givet nogen uvedkommende mulighed for at tilgå data i fødesystemerne," forlanger Datatilsynet. 

Tilsynet vil desuden have fremsendt KL's databehandler-aftale med Microsoft i Irland samt en redegørelse for, at alle personoplysninger hos Microsoft er blevet slettet i henhold til persondataloven og Sikkerhedsbekendtgørelsen. 

Slutteligt skal KL gøre rede for, om organisationen har kontaktet berørte personer og kommuner i forbindelse med, at sikkerhedsbristen er blevet opdaget. 

KL har indtil fredag den 6. maj til at svare på Datatilsynets spørgsmål.

Læs også:
Odense Kommune får nej til brug af Google Apps

Svenske cloud-kommuner skal granskes for lovbrud




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere