Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Kombit A/S behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår bland annat att Datatilsynet den 23 februari 2022 fattat beslut i ett ärende där 30 kommuner anmält en personuppgiftsincident till myndigheten i slutet av 2019 och början av 2020. Anmälan gällde ett fel i Aula vilket medfört att det från 24 november 2019 till 20 december 2019 varit möjligt för en användare A att komma åt en annan användare B:s säkra filer i Aula om användare B inte var utloggad från datorn och användare A loggat in med sitt eget NemID. Felet berodde på ett programmeringsfel hos Kombits underbiträde Netcompany i samband med företagets utveckling av en förändring av inloggningslösningen i Aula. Kommunerna fick kännedom om intrånget efter förfrågningar från Kombit.
Under ärendets handläggning inhämtade Datatilsynet ett utlåtande från Gentofte kommun, som var en av de 30 kommuner som haft personuppgiftsincidenten, samt personuppgiftsbiträdet Kombit och underbiträdet Netcompany.
På grundval av vad som anförts i målet har Datatilsynet antagit att det från den 24 november 2019 till den 20 december 2019 varit möjligt för en användare att komma åt en annan användares säkra filer i Aula om han eller hon inte hade loggat ut från datorn. Enligt Datatilsynet har det därmed förekommit obehörig åtkomst till personuppgifter varför myndigheten anser att det har inträffat en personuppgiftsincident, jfr artikel 4.12 GDPR. Datatilsynet anser också att felet uppkommit på grund av ett programmeringsfel i en ny release och att det rört sig om ett mänskligt misstag.
Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige och personuppgiftsbiträdet har således en skyldighet enligt Datatilsynet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker. Kravet enligt artikel 32 GDPR på lämplig säkerhet innebär enligt Datatilsynet normalt att alla sannolika felscenarier bör testas i samband med utveckling och modifiering av programvara där personuppgifter behandlas.
Enligt Datatilsynet har Kombit, genom att inte ha säkerställt att tillräcklig testning av Aula genomförts i samband med ändringen av koden i Aula, inte vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå, lämplig för de risker som Kombits behandling av personuppgifter innebär, i enlighet med artikel 32.1 GDPR.
Datatilsynet anser att ett fel i utvecklingen av lösningen gjort att det inte funnits någon korrekt hantering av åtkomsträttigheter i Aula. Datatilsynet anser också att Netcompany och Kombit inte har kommit överens om vilka tester som kunde förväntas utföras i samband med utvecklingsprojektet, och att samma parter inte verkat vara överens om huruvida Netcompany agerat som underbiträde eller inte, vilket kan leda till brister i behandlingssäkerheten.
Det är Datatilsynets uppfattning att det i instruktionerna från den personuppgiftsansvarige ska framgå hur en sådan oenighet ska hanteras. Vidare anser Datatilsynet att inget underbiträde på egen hand kan fatta beslut i specifika frågor om vilken säkerhet som är nödvändig när de förändringar som ska genomföras faktiskt påverkar processer som endast sker under den personuppgiftsansvariges ansvar och instruktioner, och detta kan inte entydigt utläsas av den personuppgiftsansvariges instruktioner till personuppgiftsbiträdet.
Efter att ha granskat ärendet finner därför Datatilsynet att det finns skäl att framföra allvarlig kritik mot att Kombits behandling av personuppgifter, i egenskap av personuppgiftsbiträde, inte har skett i enlighet med reglerna i artikel 32.1 GDPR.
I förhållande till valet av påföljd har Datatilsynet som försvårande omständigheter framhållit:
- Att omfattningen av intrånget inte gått att avslöja.
- Att den berörda informationen kan vara skyddsvärd information för många minderåriga.
- Att det inte funnits klarhet kring ansvarsfördelningen mellan Kombit och Netcompany.
Som förmildrande omständigheter har Datatilsynet betonat:
- Att det finns begränsad tillgång för personer som normalt har tillgång till samma typ av information.
- Att felet bara kunde utnyttjas i kombination med att en användare inte skyddade sin inloggning.