Datatilsynet har udtalt alvorlig kritik af Brøndby Kommune for ikke at have iværksat passende sikkerhedsforanstaltninger. Ved et tilsyn i efteråret 2023 konstaterede tilsynet, at kommunen ikke havde foretaget løbende, dokumenteret gennemgang af almindelige brugeres adgange i KMD Nexus siden 2020/2021, og at flerfaktorautentifikation manglede ved direkte internetadgang til KMD Nexus, SAPA og Momentum indtil 15. november 2023.
Kritikken understreger kravene i GDPR om risikobaseret sikkerhed og ansvarlighed, herunder art. 32 om passende tekniske og organisatoriske foranstaltninger. MFA blev først implementeret efter varsling af tilsynet, selv om manglen var kendt som en sårbarhed. Læs afgørelsen hos Datatilsynet: datatilsynet.dk. Vejledning om MFA og periodisk kontrol findes i Datatilsynets katalog over foranstaltninger: datatilsynet.dk.
