Et af Danmarks mest kritiske it-systemer lå nede i over 12 timer. Årsagen? Det er hemmelig information. Digitaliseringsstyrelsen bruger NemKonto-loven som skjold mod offentlig indsigt i et nedbrud, der ramte hele det digitale udbetalingssystem.
Den 10. februar 2026 gik NemKonto ned. Ikke delvist. Ikke et kortvarigt udfald. Hele systemet – inklusive samtlige brugergrænseflader – kollapsede og forblev ude af drift i mere end tolv timer.
Millioner af danskere og tusindvis af myndigheder og virksomheder kunne hverken foretage udbetalinger eller kontoopslag. Årsagen viste sig at være et netværksproblem, som en strømafbrydelse på KMD's datacenter udløste – men det er stort set alt, offentligheden får at vide.
For nu har Digitaliseringsstyrelsen besluttet, at resten skal forblive hemmeligt.
Et system, der ikke må fejle
NemKonto er ikke et hvilket som helst it-system. Det rummer seks millioner anviste bankkonti og håndterer 130 millioner udbetalinger om året. Via systemet sendes desuden omkring 85.000 digitale og mere end 175.000 fysiske breve. Mere end 100 udbetalende systemer er koblet til løsningen, som også har vitale forbindelser til bankcentralerne, skatteforvaltningen og den danske datafordeler.
Det er med andre ord rygraden i den finansielle kommunikation mellem det offentlige og borgerne – et system, som ingen forventer holder op med at virke, og som ingen har nogen plan B for, når det gør.
Netop derfor bør nedbruddet den 10. februar have udløst mere end blot en kortfattet meddelelse på Digitaliseringsstyrelsens driftsside. Og netop derfor bør KMD's efterfølgende incident-rapport – en detaljeret gennemgang af, hvad der gik galt, hvornår, og hvad der blev gjort for at rette op – være tilgængelig for offentligheden.
Det mener Digitaliseringsstyrelsen ikke.
Loven som mørklægningsredskab
Da Computerworld søgte aktindsigt i incident-rapporten samt to øvrige dokumenter om nedbruddet, næsten to måneder efter hændelsen, afviste styrelsen blankt.
Begrundelsen var NemKonto-loven, der ifølge styrelsen gør alle oplysninger om systemets "tekniske og sikkerhedsmæssige indretning" samt "processer for opretholdelse, vedligeholdelse og drift af sikkerhed" hemmelige. Specialkonsulent Morten Leth formulerede det i et skriftligt svar: Samtlige oplysninger i de tre dokumenter falder under den kategori.
Det er en bred fortolkning af loven – og en bekymrende en.
NemKonto-loven, der senest blev revideret og vedtaget af Folketinget den 27. maj 2025, indeholder tavshedspligtsbestemmelser, der er begrundet i hensynet til systemets sikkerhed. Men der er en afgørende forskel på at beskytte oplysninger, der aktivt kan bruges til at angribe systemet, og at hemmeligholde, at et strømnedbrud på et datacenter fik hele den nationale betalingsinfrastruktur til at gå i sort i over et halvt døgn.
Staten bruger her et sikkerheds-argument til at undgå et ansvars-spørgsmål.
KMD har leveret NemKonto i over 20 år – på en gammel mainframe
Bag nedbruddet gemmer sig også en ældre og mere strukturel problemstilling. KMD har leveret og driftet NemKonto i mere end 20 år, og systemet er bygget på en gammel IBM-mainframe – en teknologi, der hører en anden it-epoke til.
KMD-aftalen har tilmed været en af de relativt få tidsubegrænsede it-kontrakter, staten har haft tilbage. Det er en usædvanlig konstruktion i en tid, hvor offentlige it-kontrakter typisk sættes i udbud med jævne mellemrum. Den tidsubegrænsede aftale har givet KMD en enestående og svær-udfordrelig position som monopolleverandør af et samfundskritisk system.
Den position er nu ved at ophøre. I januar 2025 vandt Netcompany udbuddet om at udvikle den næste generation af NemKonto – en kontrakt til 384 millioner kroner med en forventet løbetid på otte år med mulighed for forlængelse. Netcompany skal bygge det nye system på sin Amplio-platform, som selskabet har markedsført som en "mainframe killer."
Digitaliseringsstyrelsen har understreget vigtigheden af, at det nye system indfases gradvist, uden at det gamle KMD-system påvirkes – en besked, der nu lyder en smule hul, al den stund KMD-systemet selv røg ned i over tolv timer midt i overgangsperioden.
Hvem vogter over systemet, der vogter over pengene?
Det centrale spørgsmål, som Digitaliseringsstyrelsens afvisning rejser, er ikke juridisk. Det er politisk.
Hvem har ansvaret for, at samfundskritiske it-systemer fungerer? Og hvem har retten til at vide, hvad der gik galt, når de ikke gør?
I en demokratisk retsstat er offentlig kontrol med magtens udøvelse en grundpille. Åbenhedsprincippet i offentlighedsloven er netop til for at sikre, at borgere og presse kan se myndighederne over skuldrene – også når det er ubehageligt. Men NemKonto-loven skærer igennem med en bred tavshedspligt, der reelt sætter offentlighedsloven ud af kraft på et af de vigtigste digitale systemer i landet.
Resultatet er, at ingen uden for styrelsen og KMD ved, hvad der præcist udløste nedbruddet, om fejlen er udbedret, eller om den kan ske igen. Og ingen – heller ikke Folketingets medlemmer – har et lovgivningsmæssigt krav på at vide det.
Et varselsskud inden den store overgang
Nedbruddet den 10. februar er særlig alvorligt, fordi det kom på et tidspunkt, hvor NemKonto befinder sig i en kritisk transitionsfase. Netcompany er nu i gang med at bygge efterfølgeren, og inden for de kommende år skal et helt nyt system sættes i drift – et system, der skal overtage ansvaret for millioner af danskeres udbetalinger.
Fejl og nedbrud i den nuværende løsning burde være genstand for maksimal åbenhed, ikke mindst fordi erfaringerne fra KMD's drift burde kunne danne lærdom for Netcompanys implementation. Hvis incident-rapporten forbliver hemmelig, er der ingen garanti for, at de rigtige konklusioner drages – og ingen mulighed for ekstern kontrol af, om de overhovedet drages.
I stedet vælger Digitaliseringsstyrelsen at trække sig bag lovens bogstav og slukke lyset. Det kan være lovligt. Men det er ikke tilstrækkeligt for et demokrati, der sætter pris på gennemsigtighed i forvaltningen af fællesskabets vigtigste digitale infrastruktur.
Artikel baseret på oplysninger fra Digitaliseringsstyrelsen, digitaliser.dk, retsinformation.dk og Computerworlds aktindsigtsanmodning.
