SIKKERHED

Datatilsynet kræver historisk bøde til Netcompany på 15 mio. kr.

Netcompany har ikke levet op til databeskyttelsesforordningen i forbindelse med udviklingen af mit.dk, mener Datatilsynet. Tilsynet har derfor politianmeldt selskabet og kræver, at Netcompany får en bøde på mindst 15 mio. kr.

 

15 millioner kroner. 

Så stor en bøde kræver Datatilsynet, at Netcompany skal betale for at have overtrådt GDPR-reglerne, da selskabet udviklede mit.dk-løsningen. 

Det er den hidtil største bøde, som Datatilsynet har indstillet til, og størrelsen skyldes både, at der er tale om en meget stor virksomhed, samt at sagen er meget alvorlig.

Mit.dk er en ny løsning, hvor både borgere og selskaber kan tilgå digital post fra offentlige myndigheder og virksomheder. 

Netcompany har ifølge Datatilsynet ikke fulgt databeskyttelsesforordningen i flere tilfælde i forbindelse med udviklingen af løsningen. For det første har selskabet ikke sikret, at der var indbygget passende sikkerhedsforanstaltninger i selve designet af mit.dk, og for det andet havde Netcompany ikke udarbejdet en konsekvensanalyse, da man udviklede mit.dk.

"Uhensigtsmæssig kodning"

Et af problemerne har været, at der var en "uhensigtsmæssig kodning" i den komponent, som sørger for at autentificere brugerne på mit.dk. Den dårlige kodning førte til, at der opstod væsentlige fejl, da mit.dk blev sat i drift i marts 2022. 

Fejlen betød, at brugere kunne få adgang til andre brugeres digitale post og dermed følsomme og fortrolige personoplysninger. Da fejlen blev opdaget, lukkede Netcompany ned for mit.dk-løsningen, men fejlen er yderst kritisk og alvorlig, og hos Datatilsynet slår man nu hårdt ned. Tilsynet peger på, at en af de "mest kritiske og åbenbare risici ved løsningen" netop er, at andre brugere ikke får adgang til post, som de ikke er autoriseret til at tilgå. 

Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden.

Datailsynet mener ikke, at de test, Netcompany har gennemført af løsningen inden lanceringen, var gode nok, da den uhensigtsmæssige kodning ikke blev opdaget. 

- Når man udvikler it-løsninger, skal man – inden man begynder at behandle personoplysninger – identificere de konkrete risici og især de mest kritiske risikoscenarier, som den enkelte it-løsning kan indebære, så man kan tage højde for dem med passende sikkerhedsforanstaltninger, siger Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet, i en pressemeddelelse og fortsætter: 

- Og når man efterfølgende tester sin løsning, er det afgørende, at der er ekstra fokus på de særligt kritiske risikoscenarier. På den måde kan man få udvalgt og gennemført netop de tests, som er relevante og nødvendige for, at man kan fange kritiske fejl i tide.

Afgørende med tillid

Ifølge Datatilsynet medførte fejlene hos Netcompany en høj risiko for brugerne, og tilsynet peger desuden på, at der ikke blev udarbejdet en konsekvensanalyse. 

- Udarbejdelse af en konsekvensanalyse er ikke en formalitet. Analysen er en væsentlig retssikkerhedsgaranti for borgernes rettigheder, når behandlingen af deres oplysninger har en indbygget høj risiko, siger Vibeke Dyssemark Thomsen og fortsætter: 

- Arbejdet med sådan en analyse indebærer nemlig en grundig og struktureret proces, som giver et bedre og mere detaljeret overblik over de risici, som er forbundet med en bestemt løsning, ligesom der i processen skal findes og implementeres de nødvendige foranstaltninger til at imødegå og nedbringe risikoen. Konsekvensanalysen skal være lavet, inden behandlingen går i gang, så man er sikker på, at alle centrale risici er håndteret, og alle høje risici nedbragt.

Datatilsynets chefkonsulent understreger, at sagen er alvolig, og at tilsynet netop aldrig har indstillet til en bøde af den størrelse. 

- Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden. En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned. Løsninger som mit.dk er nødt til at forvalte borgenes data ansvarligt, sikkert og med respekt for den enkeltes privatliv, siger Vibeke Dyssemark Thomsen.

Én fejl for meget

Hos Netcompany lyder det fra topchef André Rogaczewski, at én fejl er én fejl for meget. 

- I det øjeblik den menneskelige fejl blev identificeret tilbage i marts 2022, lukkede Netcompany systemet ned øjeblikkeligt. Derved endte fejlen med potentielt at berøre 10-50 borgeres digitale postkasser på Mit.dk i cirka en time. Det ændrer ikke på, at fejl med én postkasse er én for meget, siger André Rogaczewski til DR. 

- Vi imødekommer, at de rette myndigheder træffer endelig afgørelse i sagen, fortsætter han. 


Læs også...

Antallet af kvinder på IT-uddannelser er i følge Dansk Industri faldet i 2024. Det sker trods flere år med kampagner og fokus på at tiltrække kvinder…

Danmarks Radios krav om login lever ikke op til GDPR-regler. Det fastslår IT-politisk rådgiver, Ole Tange, efter at have set et svarskrift fra…

Hvor langt skal du egentlig acceptere at skulle transportere dig ekstra, når dit arbejdssted flytter? Læs med her.

Stor jubel i Landstingssalen på Christiansborg, da høring om datasuverænitet langt hen ad vejen handlede om at smide big tech på porten og lukke…

Arbejdsgiver har ansvar for at sikre arbejdsmiljøet ved hjemmearbejde. Det fastslår en ny afgørelse fra Højesteret, hvor en kvinde kom til skade under…

Kvinder tjener i snit 12,6 procent mindre end mænd, og kvinders pensionsopsparing er 26 procent mindre end mænds. Det er to af de kedelige facts, som…

Der er tilfredshed i PROSA, efter at PET-lovændring er udskudt. IT-fagforeningen sendte forleden et åbent brev til justitsministeren, som påpegede…

Vi har hørt det uendelig mange gange: Der mangler kvinder i tech. Og vi får gang på gang at vide, at det er et problem, at piger ikke er interesserede…

Hvis du er uheldig og bliver syg, imens du holder ferie, er det vigtigt, at du husker at melde dig syg. Men får du løn under sygdommen, og kan du få…

Big tech er ved at kvæle rigtige fællesskaber med zombie-scrolling. Den faglige kamp har brug for, at de unge møder op og giver en injektion af…