15 millioner kroner.
Så stor en bøde kræver Datatilsynet, at Netcompany skal betale for at have overtrådt GDPR-reglerne, da selskabet udviklede mit.dk-løsningen.
Det er den hidtil største bøde, som Datatilsynet har indstillet til, og størrelsen skyldes både, at der er tale om en meget stor virksomhed, samt at sagen er meget alvorlig.
Mit.dk er en ny løsning, hvor både borgere og selskaber kan tilgå digital post fra offentlige myndigheder og virksomheder.
Netcompany har ifølge Datatilsynet ikke fulgt databeskyttelsesforordningen i flere tilfælde i forbindelse med udviklingen af løsningen. For det første har selskabet ikke sikret, at der var indbygget passende sikkerhedsforanstaltninger i selve designet af mit.dk, og for det andet havde Netcompany ikke udarbejdet en konsekvensanalyse, da man udviklede mit.dk.
"Uhensigtsmæssig kodning"
Et af problemerne har været, at der var en "uhensigtsmæssig kodning" i den komponent, som sørger for at autentificere brugerne på mit.dk. Den dårlige kodning førte til, at der opstod væsentlige fejl, da mit.dk blev sat i drift i marts 2022.
Fejlen betød, at brugere kunne få adgang til andre brugeres digitale post og dermed følsomme og fortrolige personoplysninger. Da fejlen blev opdaget, lukkede Netcompany ned for mit.dk-løsningen, men fejlen er yderst kritisk og alvorlig, og hos Datatilsynet slår man nu hårdt ned. Tilsynet peger på, at en af de "mest kritiske og åbenbare risici ved løsningen" netop er, at andre brugere ikke får adgang til post, som de ikke er autoriseret til at tilgå.
Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden.
Datailsynet mener ikke, at de test, Netcompany har gennemført af løsningen inden lanceringen, var gode nok, da den uhensigtsmæssige kodning ikke blev opdaget.
- Når man udvikler it-løsninger, skal man – inden man begynder at behandle personoplysninger – identificere de konkrete risici og især de mest kritiske risikoscenarier, som den enkelte it-løsning kan indebære, så man kan tage højde for dem med passende sikkerhedsforanstaltninger, siger Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet, i en pressemeddelelse og fortsætter:
- Og når man efterfølgende tester sin løsning, er det afgørende, at der er ekstra fokus på de særligt kritiske risikoscenarier. På den måde kan man få udvalgt og gennemført netop de tests, som er relevante og nødvendige for, at man kan fange kritiske fejl i tide.
Afgørende med tillid
Ifølge Datatilsynet medførte fejlene hos Netcompany en høj risiko for brugerne, og tilsynet peger desuden på, at der ikke blev udarbejdet en konsekvensanalyse.
- Udarbejdelse af en konsekvensanalyse er ikke en formalitet. Analysen er en væsentlig retssikkerhedsgaranti for borgernes rettigheder, når behandlingen af deres oplysninger har en indbygget høj risiko, siger Vibeke Dyssemark Thomsen og fortsætter:
- Arbejdet med sådan en analyse indebærer nemlig en grundig og struktureret proces, som giver et bedre og mere detaljeret overblik over de risici, som er forbundet med en bestemt løsning, ligesom der i processen skal findes og implementeres de nødvendige foranstaltninger til at imødegå og nedbringe risikoen. Konsekvensanalysen skal være lavet, inden behandlingen går i gang, så man er sikker på, at alle centrale risici er håndteret, og alle høje risici nedbragt.
Datatilsynets chefkonsulent understreger, at sagen er alvolig, og at tilsynet netop aldrig har indstillet til en bøde af den størrelse.
- Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden. En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned. Løsninger som mit.dk er nødt til at forvalte borgenes data ansvarligt, sikkert og med respekt for den enkeltes privatliv, siger Vibeke Dyssemark Thomsen.
Én fejl for meget
Hos Netcompany lyder det fra topchef André Rogaczewski, at én fejl er én fejl for meget.
- I det øjeblik den menneskelige fejl blev identificeret tilbage i marts 2022, lukkede Netcompany systemet ned øjeblikkeligt. Derved endte fejlen med potentielt at berøre 10-50 borgeres digitale postkasser på Mit.dk i cirka en time. Det ændrer ikke på, at fejl med én postkasse er én for meget, siger André Rogaczewski til DR.
- Vi imødekommer, at de rette myndigheder træffer endelig afgørelse i sagen, fortsætter han.