22. desember 2025 bøtela det franske datatilsynet CNIL programvareselskapet NEXPUBLICA FRANCE med €1,7 millioner. Selskapet utvikler PCRM — et forvaltningssystem brukt av franske sosialtjenester, blant annet av kontorer som behandler saker om funksjonshemming.
I november 2022 meldte flere kunder om et datainnbrudd — brukere av portalen fikk tilgang til dokumenter som tilhørte andre. CNIL fant at NEXPUBLICA hadde gjennomført både interne og eksterne sikkerhetsrevisjoner før bruddet. Feilene var dokumentert. Men selskapet hadde ikke rettet dem.
Det er dette som gjør saken spesiell — ikke at det fantes sikkerhetshull, men at leverandøren visste om dem og lot dem stå. CNIL la vekt på at selskapet manglet grunnleggende kunnskap om sikkerhetsprinsipper, og at dataene som lekket var spesielt sensitive fordi de avslørte funksjonsnedsettelse.
Praktisk poeng: Spør programvareleverandørene dine om de gjennomfører regelmessige sikkerhetsrevisjoner — og om funnene faktisk blir fulgt opp. Databehandleravtalen din bør regulere leverandørens plikt til å informere deg om kjente sårbarheter. Du er behandlingsansvarlig — men leverandørens forsømmelse blir din risiko.
Inspirert av: CNIL