Nets og IBM mørklægger serveraftale

Nets har outsourcet serveropgaver for både Dankortet og NemID til det amerikanske IT-selskab IBM, der var årsag til det store Dankort-nedbrud i januar. Hverken IBM eller Nets vil dog kommentere indholdet af aftalen og behandlingen af store mængder personfølsomme data.

Foto: RICK WILKING
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Danskernes personfølsomme data er i de bedste hænder, hvis man spørger databehandlerne Nets og amerikanske IBM. Men nogen garantier eller åbenhed om den store serveraftale mellem de to selskaber kan der ikke være tale om. Den er hemmelighedsstemplet og mørklagt.

Det er aftaler mellem to private selskaber som regel, men aftalen mellem Nets og IBM er kommet i søgelyset, efter at Berlingske de seneste uger har afdækket de mulige problemer med datasikkerheden i forbindelse med salget af Nets.

Et politisk flertal uden om regeringen har således krævet datasikkerheden kulegravet, og som beskrevet i dagens Berlingske er kontrollen med personfølsomme data herhjemme hullet. Justitsminister Karen Hækkerup (S) har netop bekræftet over for Folketingets Retsudvalg, at der ikke kan udstedes garantier for, at den amerikanske efterretningstjeneste NSA ikke vil få adgang til oplysninger, eventuelt via såkaldte bagdøre hos Nets, hvis Nets sælges til en amerikanskejet eller -baseret virksomhed.

»Hvis en større IT-virksomhed på ledelsesniveau samarbejder med og udleverer oplysninger til en fremmed efterretningstjeneste, er det ikke umiddelbart realistisk at forvente, at Datatilsynets tilsyn vil kunne afsløre dette,« hedder det i svaret fra justitsministeren.

Tæt samarbejde mellem Nets og IBM

Serveraftalen mellem Nets og IBM Danmark handler i bund og grund både om datasikkerhed og driftsstabilitet. Og mens Datatilsynet medgiver, at kontrollen med datasikkerheden har begrænsninger, har driftsstabiliteten også været udfordret, senest med det store Dankort-nedbrud i januar.

Aftalen går tilbage til 2007, hvor Penge-institutternes BetalingsSystemer (PBS) – der i 2010 fusionerede med sin norske pendant og blev til Nets – indgik en stor aftale med IBM om drift af blandt andet servere. Dengang fulgte 71 IT-specialister, der kendte systemerne indgående, med over til IBM fra PBS.

IBM vil ikke svare på, hvor mange af disse tidligere PBS-folk, der stadig er beskæftiget med opgaverne for Nets, men flere af hinanden uafhængige kilder fortæller til Berlingske, at en betydende del af dem enten har forladt IBM eller arbejder med andre opgaver i dag.

Tavshed fra IBMs direktør

IBM Danmarks direktør Lars Mikkelgaard-Jensen vil ikke stille op til interview med Berlingske, men IBMs marketingafdeling har givet en række overordnede skriftlige svar til Berlingske, hvori det hedder, at »vi kommenterer ikke eksternt på vores medarbejderforhold«.

Omkring Dankort-nedbruddet, som IBM har taget ansvaret for, skriver marketingchef Karsten Stokking:

»IBM arbejdede tæt sammen med Nets for at løse situationen. Vi diskuterer ikke offentligt kundespecifikke detaljer, men gør vores yderste for at forhindre, at noget lignende skulle kunne gentage sig. Vi beklager dybt situationen og de gener, den forårsagede.«

Når det kommer til datasikkerhed, understreger IBM, at fortroligheden om kundernes data er »højeste prioritet« og lever op til den gældende lovgivning, hvor selskabet opererer. Men at myndigheder kan kræve data udleveret under hensyn til »national sikkerhed«, lægger IBM ikke skjul på.

»Regeringer i hele verden har længe haft myndighed til at indhente data til brug i forbindelse med retshåndhævelse og national sikkerhed, og kun i de tilfælde vil IBM udlevere kundedata til de myndigheder, der kan kræve udlevering. IBM udleverer ellers ikke kundedata til myndighederne herunder ikke til de amerikanske myndigheder. Dette gælder i alle lande, hvor IBM driver forretning,« skriver Karsten Stokking.

Outsourcing til Polen

IBM Danmark er også i gang med at outsource en række opgaver til Polen, men i hvilken grad, det involverer serveropgaver for Nets, vil IBM ikke fortælle.

»IBM er en global virksomhed, og vi trækker i vores leverancer på vores internationale netværk af ressourcer og ekspertise for bedst muligt at opfylde kundernes behov. I den forbindelse efterlever vi nationale og internationale lovkrav,« lyder svaret på de seks specifikke spørgsmål, som Berlingske har stillet om IBMs outsourcing til Polen.

Hos Nets vil man heller ikke tale detaljer om aftalen med IBM, men holder sig til en overordnet skriftlig kommentar:

»Vi ønsker ikke at kommentere vores aftaler konkret. Vi kan dog oplyse, at der i forbindelse med driftsopgaver som vedrører Danmark, som løses af IBM, ikke lagres følsomme oplysninger uden for Danmark. Endelig har ingen ansatte i IBM adgang til disse data. Det gælder både danske og EU- ressourcer i IBM,« skriver Nets’ pressechef Søren Winge.

NemID skal blive i Danmark

Den mest personfølsomme af alle Nets’ opgaver er kontrakten på NemID med Digitaliseringsstyrelsen.

Digitaliseringsstyrelsen oplyser, at Nets ikke kan outsource serveropgaver i relation til NemID til udlandet uden at få grønt lys fra styrelsen. Det er ikke sket, og Nets har heller ikke adviseret Digitaliseringsstyrelsen om forestående planer om en outsourcing af NemID-servere til Polen.

»Vi kan derfor bekræfte, at der ikke er sket outsourcing af NemID-servere til Polen,« oplyser Charlotte Jacoby fra Digitaliseringsstyrelsen i et skriftligt svar til Berlingske.

Digitaliseringsstyrelsen havde ingen bemærkninger, da Nets i september 2012 besluttede at outsource sine NemID-servere til IBM Danmark, hvor de altså stadig står.

Én gang årligt udarbejder revisionen en rapport for Digitaliseringsstyrelsen, som gennemgår sikkerheden. Men ellers er det i høj grad bundet op på tillid til, at Nets overholder lovgivningen i behandlingen af NemID-data, har styrelsens direktør Lars Frelle-Petersen tidligere oplyst til Berlingske.