Yılın başlangıcı birçok vergi danışmanı ve insan kaynakları departmanı için umduğundan daha çalkantılı geçti. Perşembe günü Nürnberg merkezli BT hizmet sağlayıcısı Datev'in veri merkezinde sözde basit bir teknik arıza olarak başlayan olay, 48 saat içinde büyük bir veri koruma arızasına dönüştü. Yazılım şirketinin amiral gemilerinden biri olan ve “maaş bordrosu muhasebeniz için bireysel çözümler” vaat eden Lodas sistemi de etkilendi.
Reklamdan sonra devamını okuyun
Lodas yazılımı öncelikle kalite kontrolü için cari ay boyunca “deneme faturalarının” oluşturulduğu daha büyük müşteriler tarafından kullanılır. Bu ön belgeler, son bordro işlenmeden önce faturalama parametrelerindeki değişiklikleri kontrol etmek için kullanılır. Normalde bu sonuçlar, emri tetikleyen bilgisayara birkaç dakika içinde otomatik olarak geri iletilir. Ancak Datev çalışanlarının bir topluluk portalında duyurduğu gibi, 8 Ocak'ta duraklayan tam da bu geri dönüş oldu. Örnek faturalar veri merkezinde oluşturuldu ancak alıcılarına ulaşmadı.
Kayıtlara göre Datev teknisyenleri, ortaya çıkan veri sıkışmasını gidermek için Cuma günü bir “geçici çözüm” uyguladı. Amaç, ödenmemiş örnek faturaların gönderenlere teslim edilmesini sağlamaktı. Ancak burada gerçekten akla “ölen bir hasta üzerinde başarılı operasyon” şeklindeki tıbbi metafor geliyor: Onarım girişimi teknik olarak işe yaradı ancak tahsis hatasına neden oldu. Sistem, belgeleri meşru istemcilere geri göndermek yerine, örnek bildirimleri rastgele üçüncü taraf istemcilere teslim etti.
Karmaşık hukuki sonuç
“Üçüncü taraf faturalandırması” haberi, ilgili uzman forumlarında ve sosyal ağlarda orman yangını gibi yayıldı. Hukuk bürosu çalışanları, hiç tanınmayan şirketlerin son derece hassas maaş verilerini bir anda ekranlarında gördüklerini ve “tam bir felaketten” şikayetçi olduklarını inanamayarak bildirdi. Bu belgeler çalışanların isimlerini, adreslerini, sosyal güvenlik numaralarını ve elbette kazanç verilerini içerdiğinden, Genel Veri Koruma Yönetmeliği (GDPR) kapsamında raporlanabilir bir olaya ilişkin eşik aşılmış olabilir.
Datev'e göre teknik sorun Cuma günü öğleden sonra çözüldü. Ancak hukuki sonuçlar müşteriler açısından karmaşık olmaya devam ediyor. Güncelleme 11 Ocak, 13:56: Datev, çevrimiçi olarak yaptığı açıklamada sorumlu veri koruma yetkilisini zaten bilgilendirdi: Etkilenen kullanıcılar ve DATEV'den sorumlu veri koruma denetleme makamı (BayLDA), olay hakkında DATEV tarafından bilgilendirildi. Verilerin kötüye kullanıldığına dair herhangi bir belirti yoktur. Ayrıca, örnek faturaların olası incelemesi yalnızca DATEV'in müşterileri arasında gerçekleştirilmiştir. Kooperatif üyeleri mesleki hukuka dayalı bir gizlilik yükümlülüğüne tabidir ve DATEV Genel Hüküm ve Koşullarında da sözleşmeye bağlı bir gizlilik yükümlülüğü kabul edilmiştir.
GDPR'ye göre böyle bir raporun, olayın öğrenilmesinden sonraki 72 saat içinde sorumlu devletin veri koruma denetleme makamına yapılması gerekiyor. Ayrıca hukuk firmalarının müvekkillerini bilgilendirme görevi bulunmaktadır. Etkilenen şirketlerin de çalışanlarını veri sızıntısı konusunda bilgilendirmesi gerekiyor.
Bir tuzak, etkilenenlerin çoğunun bilgisizliğinde yatmaktadır. Başkasının faturasını alan herkes hatayı hemen fark etti. Ancak verileri yanlışlıkla taşınan şirket çoğu zaman kötü şansının farkında değildir.
Reklamdan sonra devamını okuyun
(HAYIR)
Bir yanıt yazın