Sårbarhedsstyring

Vestre Landsret nedsætter byrettens bøde til 500.000 kr., men fastslår brud på GDPR artikel 32 efter langvarig URL-sårbarhed i en regional database med følsomme sundhedsdata. Frifindelse gives for en ældre PowerPoint, da rimelige tiltag var truffet.

Vestre Landsret halverer bøden til Region Syddanmark til 500.000 kr. Regionen dømmes for URL-baseret sårbarhed efter GDPR art. 32, men frifindes i sagen om en ældre, indekseret PowerPoint. Dommen skærper fokus på forudgående viden og passende foranstaltninger.

Datatilsynet tilføjer to konkrete sikkerhedsforanstaltninger for at bremse hackingrelaterede brud: styring og vedligehold af software samt netværkssegmentering. IoT-enheder som overvågningskameraer udpeges som risikopunkt. Virksomheder bør nu segmentere, patche og dokumentere kontroller.

Datatilsynet retter kritik mod Digitaliseringsstyrelsen for ikke at dokumentere en særskilt risikovurdering af JavaScript i MitID. Tilsynet kræver, at kendte misbrugsscenarier adresseres, og at passende sikkerhedsforanstaltninger dokumenteres efter GDPR ved brug af standardteknologier.