Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att KMD A/S behandling av personuppgifter inte har skett inom ramen för reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet under perioden 19 januari till 21 januari 2021 tagit emot sex anmälningar om personuppgiftsincidenter från Skanderborgs kommun, Lemvig kommun, Herning kommun, Halsnæs kommun, Haderslev kommun respektive Tønder kommun. Anmälningarna gällde alla samma säkerhetsintrång. Av anmälningarna framgick att det skett en överföring av uppgifter om fosterföräldrar till AULA från system som KMD drev som personuppgiftsbiträde åt kommunerna, vilket inneburit att fosterföräldrar fått obehörig tillgång till information om bland annat fosterbarn i AULA.
Av de anmälningar om personuppgiftsincidenter som Datatilsynet fått från de sex kommunerna ovan, samt från de utlåtanden som myndigheten fått från andra berörda kommuner, framgår att uppgifter om minst 23 fosterbarn påverkats av intrånget. Informationen omfattade kontaktuppgifter och personnummer. Dessutom har fosterföräldrarna haft tillgång till AULA, där andra personuppgifter kan förekomma. Anledningen till intrånget var att en ny funktionalitet i ett system som KMD använde som personuppgiftsbiträde inte testats tillräckligt, inklusive hur funktionaliteten fungerade tillsammans med till exempel AULA.
Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder införs för att skydda de registrerade mot dessa risker.
Datatilsynet anser att kravet på adekvat säkerhet normalt kommer att innebära att när en ny funktionalitet utvecklas för IT-system som ska behandla personuppgifter ska ändringarna göras enligt överenskomna principer, där eventuella konsekvenser av förändringen övervägs och tester planeras, som kan verifiera att säkerhetskraven fortfarande är uppfyllda efter att ändringen har genomförts.
När det gäller IT-system, som personuppgiftsbiträdet inte själv ansvarar för, men där personuppgiftsbiträdet ansvarar för betydande indata i form av personuppgifter, anser Datatilsynet att kravet på tillräcklig säkerhet normalt kommer att innebära att personuppgiftsbiträdet ska skapa erforderlig överblick över den egna IT-arkitekturen och IT-miljön, inklusive de system som integreras med andra system genom att leverera eller ta emot data, och där förlust av integritet för personuppgifter kommer att innebära en betydande risk för de registrerades rättigheter och säkerställa en kartläggning av integrationerna och tillhörande beroenden.
Som en följd av ovanstående har personuppgiftsbiträdet en skyldighet att rapportera kodändringar i integrerade system till relevanta personuppgiftsansvariga och/eller personuppgiftsbiträden för de integrerade externa systemen innan de går i produktion. Dessa krav måste säkerställa att externa personuppgiftsansvariga och/eller personuppgiftsbiträden informeras i tid om de planerade ändringarna och kan utföra lämpliga tester av integriteten hos personuppgifter som utbyts mellan de integrerade systemen.
Mot denna bakgrund finner Datatilsynet att KMD, genom att inte ha genomfört lämpliga tester av den nya funktionen, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som KMD:s behandling av personuppgifter innebär. Datatilsynet anser därför att det finns skäl att framföra allvarlig kritik mot att KMD:s behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.
Datatilsynet har som en försvårande omständighet ansett att myndigheten i november 2020 hanterat en incident som rör samma system som levererar data till AULA. Datatilsynet är medveten om att händelsen vid den tidpunkten inte är identisk med den aktuella händelsen. Datatilsynet har dock fäst vikt vid att händelsen då också upptäcktes av användarna istället för av personuppgiftsbiträdet som gjort ändringarna i IT-lösningen och att problemet med bristande testning bör har lösts tidigare.