EUs nye personvernforordning er et brennaktuelt tema for tiden. General Data Protection Regulation, GDPR, trer i kraft 28. mai neste år. Det blir en merkedato for alle virksomheter som samler inn og behandler persondata i EU/EØS-området, Norge inkludert.
Klekkelige bøter kan vente den som rammes av alvorlige sikkerhetsbrudd og datalekkasjer. Les mer om forordningen og hvorfor det er viktig å forberede seg.
Kunne blitt dyrt
Et fersk og konkret eksempel er oppdagelsen av en alvorlig sårbarhet hos KMD (tidligere Kommunedata), et av Danmarks største IT-selskap med rundt 3 000 ansatte.
Gjennom 12 år har det vært mulig å hente ut innbyggernes navn og personnummer i en nettløsning som brukes av 80 danske kommuner. Det er et direkte brudd på dagens persondatalov, melder Finans.dk.
Hadde tilfellet blitt oppdaget etter innføring av forordningen kunne det utløst bøter på 75 millioner kroner. Nå slipper IT-giganten unna med en irettesettelse.
– Slik reglene er nå kan vi kun gi refs til KMD. Det er det eneste vi kan gjøre nå. Og så er det jo heldig for KMD, at det er nå dette skjer, og ikke om et år. Det er hell i uhell, sier konstituert kontorsjef Jesper Vang ved det danske Datatilsynet til Finans.dk.
Anmelder mannen som fant hullet
Det var en seniorkonsulent, Esben Warming Pedersen, hos IT-selskapet Netcompany som oppdaget og meldte ifra om sikkerhetsbristen i forrige måned.
KMD svarte med å politianmelde ham for hacking. Det stiller Pedersen seg uforstående til. I et intervju med Version2.dk avviser han blankt at han har brutt seg inn i et datasystem.
– På ingen måte. Jeg har kikket i HTML-koden på siden. Jeg har ikke vært inne i systemet deres på noen måte. Jeg blir bare indignert som innbygger over at IT-sikkerheten er så elendig i den løsningen, sier han til den danske teknologiavisen.
Ifølge ham kunne hele det danske folkeregister hentes ut ved hjelp av noen enkle Ajax-kall.
KMD forklarer anmeldelsen nærmere i denne artikkelen. Hovedargumentet deres er at Pedersen har automatisert uthentingen av data ved hjelp av et script på klientsiden. De bestrider ikke at det har vært mulig å manuelt hente ut dataene.