Hos Datatilsynet er man klar i mælet i forhold til, hvem der i sidste ende bærer ansvaret for sikkerhedsbristen i den digitale pladsanvisning, som resulterede i, at it-manden Esben Warming Pedersen uden større forhindringer kunne tilgå andre borgeres CPR-numre og navne i det kommunale it-system.

"Vores holdning er, at det er den dataansvarliges ansvar, at de bruger en databehandler, som har styr på sikkerheden. Så vi vil normalt gå efter de 80 kommuner i givet fald og ikke KMD. Det gjorde vi også i sin tid i sagen med det daværende CSC (nu DXC, red.) og Rigspolitiet, hvor vi gik efter sidstnævnte," siger kontorchef hos Datatilsynet Jesper Husmer Vang til ITWatch.

Han understreger dog, at sagen langt fra er den mest alvorlige, man har set i tilsynet.

"De sager, hvor ting uden videre kan søges frem via søgemaskiner, er langt værre. I den konkrete sag har det som minimum krævet, at man er i besiddelse af et login med NemID og krævet, at man har et vist niveau af it-kundskaber for at kunne trække de her ting ud og verificere dem," lyder det fra Jesper Husmer Vang som fortsætter:

"Og så kræver det, at man er i stand til at identificere fejlen. Det er ikke noget, som den almindelige dansker umiddelbart gør. Men hvis man har onde hensigter, så er det naturligvis et problem. Og at der har været en sikkerhedsbrist i 12 år, er naturligvis alvorligt nok i sig selv," understreger han og påpeger, at det tit er tilfældigheder som afgør, hvorvidt fejl af denne type bliver opdaget.

"Det kræver, at nogen med kendskab til den slags falder over det."

Tager sandsynligvis ikke sagen op

Ifølge Jesper Husmer Vang er det dog langt fra sikkert, at der i sidste ende kommer en sag mod de implicerede kommuner, idet KMD allerede er ved at undersøge sagen, og har lovet styrelsen, at de vil modtage en redegørelse, når sagen er undersøgt til bunds.

"Jeg ser ikke, at vi tager 80 sager op mod kommunerne, når sagen sådan set er lukket, og man er i gang med at undersøge bristen og kommer med en redegørelse. Vi vil selvfølgelig bede om at blive holdt orienteret, og så, afhængig af resultatet, vurdere, om der er grund til at tage sagen op," fortæller kontorchefen.

Han påpeger samtidig, at styrelsens muligheder i forhold til i sidste ende at straffe kommunerne er temmelig begrænsede, som reglerne er i dag. Faktisk har styrelsen hverken mulighed for at uddele bøder eller politianmelde offentlige myndigheder.

"Sagen vil højest sandsynligt ende med, at vi udtaler en form for kritik af kommunen, men andet kan vi faktisk ikke gøre," lyder det fra Jesper Husmer Vang som uddyber:

"Der er nogle, som mener, at det er urimeligt, at vi kan straffe private aktører, men ikke offentlige. Det har også været oppe at vende i retsudvalget, og politikerne skal i forbindelse med EU's dataforordning tage stilling til, om offentlige myndigheder fremover skal kunne straffes, hvilket forordningen giver mulighed for," siger han.

Er Esben Warming Pedersen, som fandt sikkerhedsbristen, efter Datatilsynets opfattelse en hacker?

"Det er en klassiker. vi så det senest i en sag fra landsretten for nylig, hvor en anden person blev frikendt for at påpege en fejl i systemet," siger Jesper Husmer Vang og henviser til landsretssagen om "Børnehavehackeren" Henrik Høyer, som påpegede en brist i sønnens børnehave Frændehus' it-system.

I den sag muliggjorde en brist i systemet, at man som bruger kunne få adgang til andre børns personlige oplysninger ved blot at ændre et id-nummer i browserens adresselinje, hvilket Version2 dengang beskrev.

Jesper Husmer Vang vurderer, at det springende punkt ligger i, hvorvidt man blot dokumenterer sikkerhedsbrister, eller direkte har ændret i oplysninger for at statuere et eksempel eller haft onde hensigter, hvilket det ikke tyder på, er tilfældet i den konkrete sag fra Frederiksberg Kommune.

"Umiddelbart virker det til, at han har prøvet at dokumentere en problemstilling uden onde hensigter. Så vi har også på sin vis landsrettens dom for, at man i et vist omfang kan gøre det her for at dokumentere huller i systemet," lyder det fra Jesper Husmer Vang.