Den 22. december 2025 bötfällde den franska dataskyddsmyndigheten CNIL mjukvaruföretaget NEXPUBLICA FRANCE med 1,7 miljoner euro. Företaget utvecklar PCRM – ett administrationssystem som används av franska socialtjänster, bland annat av kontor som hanterar ärenden gällande funktionsnedsättningar.
I november 2022 rapporterade flera kunder om en dataintrång – användare av portalen fick tillgång till dokument som tillhörde andra. CNIL fann att NEXPUBLICA hade genomfört både interna och externa säkerhetsrevisioner före intrånget. Felaktigheterna var dokumenterade. Men företaget hade inte åtgärdat dem.
Det är detta som gör saken speciell – inte att det fanns säkerhetshål, utan att leverantören kände till dem och lät dem vara kvar. CNIL betonade att företaget saknade grundläggande kunskap om säkerhetsprinciper, och att de data som läckte var särskilt känsliga eftersom de avslöjade funktionshinder.
Praktisk poäng: Fråga dina programvaruleverantörer om de genomför regelbundna säkerhetsrevisioner — och om resultaten faktiskt följs upp. Databehandlingsavtalet Du bör reglera leverantörens skyldighet att informera dig om kända sårbarheter. Du är personuppgiftsansvarig — men leverantörens försummelse blir din risk.
Inspirerad av: CNIL