En hackergruppe brød ind hos en leverandør til en dansk kommunes tandpleje. 23.000 borgeres CPR-numre kan være kompromitteret. Mange af dem er børn. Bruddet skete ikke hos kommunen. Men det er kommunen, Datatilsynet kontakter først.
Leverandøren hacket. Kommunen hæfter.
Kommunen offentliggjorde bruddet denne uge. Navne, adresser og CPR-numre for nuværende og tidligere borgere kan være eksponeret. I nogle tilfælde også telefonnumre og mailadresser.
Bruddet skete hos leverandøren. Alligevel er det kommunen, der skal anmelde til Datatilsynet, sende 23.000 breve til borgerne, oprette hotline og svare på spørgsmål.
Dataansvarlig, ikke bare kunde
Når I bruger en IT-leverandør til at behandle persondata, er I den dataansvarlige. Leverandøren er databehandler. Jeres aftale instruerer leverandøren i, hvordan data skal behandles.
Men aftalen flytter ikke jeres pligt til at anmelde, underrette og dokumentere. Den giver jer mulighed for at søge erstatning bagefter. Det er jer, tilsynet henvender sig til først.
Kæden stopper ikke ved leverandøren
Jeres leverandør bruger ofte selv underleverandører til hosting, drift og vedligehold. Hvert ekstra led er et led, I som dataansvarlig skal have overblik over.
Datatilsynet har gjort det klart: Når ét brud hos én leverandør rammer flere dataansvarlige, opretter tilsynet som udgangspunkt en sag per dataansvarlig. Ét brud kan blive til mange sager.
2026: Store databehandlere er fokusområde
I 2026 har Datatilsynet gjort store databehandlere til et særskilt tilsynsområde. Tilsynet vil vurdere, om databehandleraftaler er tilstrækkeligt detaljerede, og om leverandøren reelt gør det muligt for jer at leve op til persondataforordningen.
Kontrakten i skuffen
Kommunen har udtrykt oprørelse. Det er forståeligt. Men det ændrer ikke juraen.
Den juridiske virkelighed er, at de fleste organisationer aldrig har set den komplette liste over underleverandører med adgang til deres data. De har en databehandleraftale i en skuffe. De har aldrig brugt deres audit-rettigheder. Og de antager, at kontrakten beskytter dem.
Det gør den ikke. Kontrakten beskytter leverandøren.
Tre ting at gøre nu
Find jeres liste over underdatabehandlere. Databehandleraftalen kræver typisk, at leverandøren oplyser, hvem der har adgang til jeres data. Hvis I ikke kender listen, har I allerede et problem, I bør løse inden Datatilsynet stiller spørgsmålet.
Tjek jeres audit-rettigheder. Har I ret til at inspicere leverandørens sikkerhed, eller har I kun ret til at bede om en rapport, leverandøren selv har skrevet? Forskellen er afgørende, når bruddet rammer.
Spørg jeres leverandør direkte. Hvornår testede de sidst, om de kan opdage et indbrud hos deres egen underleverandør? Og hvor hurtigt kan de varsle jer? Hvis svaret er uklart, mangler I det vigtigste led.
Et leverandøraudit kan afdække, om jeres leverandørs sikkerhed matcher den tillid, I har vist dem, og om underleverandørkæden er dokumenteret og kontrolleret. En uafhængig cybersikkerhedsaudit viser, om jeres egne processer holder, når bruddet sker hos andre.
Hvornår fik I sidst en uafhængig gennemgang af, om jeres databehandleraftaler faktisk beskytter jer, og ikke kun jeres leverandør?
Har du brug for et leverandøraudit eller en gennemgang af jeres databehandleraftaler?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
