Uheldig softwareopdatering gav tusinder af ansatte adgang til jobansøgninger
En softwareopdatering på et universitets HR-system nulstillede systemets rettighedsstyring. Det betød, at alle universitetets tusinder af ansatte pludselig kunne se over 400 jobansøgninger i systemet. Softwareopdateringen var ikke blevet testet før den var taget i brug, og det mente Datatilsynet var for dårligt. Fejlen var et brud på pligten til at sikre et tilstrækkeligt sikkerhedsniveau under databeskyttelsesreglerne.
På et universitet fungerede det interne HR-system blandt andet sådan, at ansatte fik tildelt en ”rolle” for at få adgang til jobansøgninger. Hvilken rolle der blev tildelt og til hvem afhang af den enkelte ansættelsesproces.
I forbindelse med en opdatering af HR-systemet, blev rettighedsstyringen dog nulstillet ved en fejl. Den tidligere styring via rollefordelingen forsvandt i den forbindelse. Konsekvensen var, at 7011 ansatte på universitetet i princippet kunne se de ansøgninger, der før krævede adgang via en særlig rolle. Fordi der ikke blev ført log i systemet, var det ikke muligt at kontrollere om ansøgningerne var blevet tilgået eller ej.
Universitetet havde ikke testet opdateringen først, fordi der ikke var noget der pegede på, at der ville ske ændring i rettighedsstyringen. Leverandøren af softwaren, der også var ansvarlig for implementeringen af den, havde ikke givet nogen form for besked herom. Derfor var der ikke blevet udført en 14 dages test, som ellers ville have været den normale praksis.
Ingen udvej at bebrejde software-leverandøren
Hændelsen var et brud på databeskyttelsessikkerheden, i strid med databeskyttelsesreglerne. Universitetet havde tilsidesat sin pligt til at sikre et tilstrækkeligt sikkerhedsniveau.
Universitetet skulle have identificeret den risiko, som udviklingen og tilpasningen af IT-løsningen indebar.
Eksempelvis skulle løsningen have været testet først, for at tjekke om den indeholdt problemer, der kunne medføre eksempelvis tab, ændring, uautoriseret videregivelse eller adgang til personoplysningerne i systemet. Det var universitetets ansvar selv at undersøge de potentielle konsekvenser ved opdateringen, uanset hvilke oplysninger software-leverandøren havde givet på forhånd.
Universitetet skulle også have foretaget en vurdering af den behandling som ændringerne kunne medføre. Eksempelvis skulle universitetet have overvejet risikoen for nulstilling eller ændring af rettighedsstyringen, uanset at den risiko ikke fremgik af opdateringen på forhånd.
Den manglende forhåndstest af opdateringen udløste alvorlig kritik fra Datatilsynet. Datatilsynet understregede, at det vejede tungt, at der ikke blev ført logs på se-adgang, at der var tale om et stort antal ansatte og et omfattende ansøgningsmateriale, der både indeholdt personnumre og helbredsoplysninger. Databruddet var her særlig slemt for de interne ansøgere.
IUNO mener
Det er ikke første gang Datatilsynet understreger, at rollen som dataansvarlig indebærer, at virksomheder har det fulde ansvar for sikkerhedsniveauet og at det blandt andet omfatter, at alle systemopdateringer mv. er helt sikre, og at alle potentielle risici er analyseret, før opdateringen implementeres.
IUNO anbefaler, at virksomheder har faste retningslinjer på plads, der blandt andet fastsætter sikre og omfattende procedurer for test af opdateringer, inden de indføres. Retningslinjerne bør etablere en proces hvorefter alle sandsynlige fejlscenarier testes i forbindelse med udvikling, opdatering og anden ændring af software, hvor der behandles personoplysninger, før et tilstrækkeligt sikkerhedsniveau er på plads.
[Datatilsynets afgørelse af den 12. maj 2022 i sag nr. 2021-442-13989]
På et universitet fungerede det interne HR-system blandt andet sådan, at ansatte fik tildelt en ”rolle” for at få adgang til jobansøgninger. Hvilken rolle der blev tildelt og til hvem afhang af den enkelte ansættelsesproces.
I forbindelse med en opdatering af HR-systemet, blev rettighedsstyringen dog nulstillet ved en fejl. Den tidligere styring via rollefordelingen forsvandt i den forbindelse. Konsekvensen var, at 7011 ansatte på universitetet i princippet kunne se de ansøgninger, der før krævede adgang via en særlig rolle. Fordi der ikke blev ført log i systemet, var det ikke muligt at kontrollere om ansøgningerne var blevet tilgået eller ej.
Universitetet havde ikke testet opdateringen først, fordi der ikke var noget der pegede på, at der ville ske ændring i rettighedsstyringen. Leverandøren af softwaren, der også var ansvarlig for implementeringen af den, havde ikke givet nogen form for besked herom. Derfor var der ikke blevet udført en 14 dages test, som ellers ville have været den normale praksis.
Ingen udvej at bebrejde software-leverandøren
Hændelsen var et brud på databeskyttelsessikkerheden, i strid med databeskyttelsesreglerne. Universitetet havde tilsidesat sin pligt til at sikre et tilstrækkeligt sikkerhedsniveau.
Universitetet skulle have identificeret den risiko, som udviklingen og tilpasningen af IT-løsningen indebar.
Eksempelvis skulle løsningen have været testet først, for at tjekke om den indeholdt problemer, der kunne medføre eksempelvis tab, ændring, uautoriseret videregivelse eller adgang til personoplysningerne i systemet. Det var universitetets ansvar selv at undersøge de potentielle konsekvenser ved opdateringen, uanset hvilke oplysninger software-leverandøren havde givet på forhånd.
Universitetet skulle også have foretaget en vurdering af den behandling som ændringerne kunne medføre. Eksempelvis skulle universitetet have overvejet risikoen for nulstilling eller ændring af rettighedsstyringen, uanset at den risiko ikke fremgik af opdateringen på forhånd.
Den manglende forhåndstest af opdateringen udløste alvorlig kritik fra Datatilsynet. Datatilsynet understregede, at det vejede tungt, at der ikke blev ført logs på se-adgang, at der var tale om et stort antal ansatte og et omfattende ansøgningsmateriale, der både indeholdt personnumre og helbredsoplysninger. Databruddet var her særlig slemt for de interne ansøgere.
IUNO mener
Det er ikke første gang Datatilsynet understreger, at rollen som dataansvarlig indebærer, at virksomheder har det fulde ansvar for sikkerhedsniveauet og at det blandt andet omfatter, at alle systemopdateringer mv. er helt sikre, og at alle potentielle risici er analyseret, før opdateringen implementeres.
IUNO anbefaler, at virksomheder har faste retningslinjer på plads, der blandt andet fastsætter sikre og omfattende procedurer for test af opdateringer, inden de indføres. Retningslinjerne bør etablere en proces hvorefter alle sandsynlige fejlscenarier testes i forbindelse med udvikling, opdatering og anden ændring af software, hvor der behandles personoplysninger, før et tilstrækkeligt sikkerhedsniveau er på plads.
[Datatilsynets afgørelse af den 12. maj 2022 i sag nr. 2021-442-13989]