I en fodboldkamp ryger man ud efter to gule kort.
Men den regel gælder altså ikke, når man er en virksomhed, der opbevarer nogle af de mest følsomme oplysninger i Danmark.
Nets har nemlig fået en hel stribe advarsler på vejen mod den skandale, som er blevet blotlagt i forbindelse med en Nets/IBM-ansats salg af oplysninger til Se og Hør.
En ekstern revision af it-sikkerheden fra 2007, der skal beskytte Dankortets data, indeholder en stribe særligt kritisable forhold og påtegnelser om, at sikkerheden ikke er i orden.
Det skriver Berlingske, der er kommet i besiddelse af revisionspapirerne.
Igen i 2010 og 2013
Der er også en revisionsrapport fra 2010, der vedrører IBM's drift af NemID, som advarer mod sikkerhedsproblemer.
I erklæring fra PwC fra april 2010 skriver revisionsfirmaet blandt andet, at: "Der eksisterer enkeltstående svagheder vedrørende adgangs- og rettighedshåndtering."
Med andre ord: Et juridisk vink med en vognstang om, at der er problemer med præcis det forhold, som i år har ført til en afsløring om, at der er lækket data fra systemerne til et kulørt ugeblad.
Læs mere her: It-sikkerhedsprocedurer i Nets har manglet kontrol i årevis
Ifølge Berlingske har der også været en påtegnelse, der er blevet givet til betroede medarbejdere i Nets og til bestyrelsen i 2013, hvor der er anmærkninger om, at alt for mange personer i Nets har adgang til fortroligt materiale.
Ud over de officielle rapporter har Nets i 2013 modtaget en række konkrete tip fra en fotograf, der har haft tilknytning til Se og Hør. Han fortalte, at bladet benyttede oplysninger fra en kilde i Nets.
Læs også: Endnu en skandale: Jeg anklager...!
Nets: Vi har fulgt op
Berlingske har spurgt Nets bestyrelsesformand siden 2007, Peter Lybecker, om, hvorfor der ikke blev reageret på advarslerne.
I en mail skriver han blandt andet til avisen:
"Nets har løbende fulgt op på systemrevisionsrapporterne, hvor vi har kunnet konstatere, at IBM på enkelte områder har haft brug for mere faste processer, end de har haft. Vi har anset dette for værende løst i 2011."
Han peger desuden på, at på baggrund af Nets-lækket skal sikkerheden ses efter i sømmene igen, og at indskærpede krav fra revisionen skal indarbejdes.
Læs også:
Afsløring: Tys-tys-kilden har haft fingrene i NemID
Det kan vi lære af Se og Hør-skandalen
Nets og IBM har kendt til data-lækager i lang tid