SIKKERHED

Datatilsynet kræver historisk bøde til Netcompany på 15 mio. kr.

Netcompany har ikke levet op til databeskyttelsesforordningen i forbindelse med udviklingen af mit.dk, mener Datatilsynet. Tilsynet har derfor politianmeldt selskabet og kræver, at Netcompany får en bøde på mindst 15 mio. kr.

 

15 millioner kroner. 

Så stor en bøde kræver Datatilsynet, at Netcompany skal betale for at have overtrådt GDPR-reglerne, da selskabet udviklede mit.dk-løsningen. 

Det er den hidtil største bøde, som Datatilsynet har indstillet til, og størrelsen skyldes både, at der er tale om en meget stor virksomhed, samt at sagen er meget alvorlig.

Mit.dk er en ny løsning, hvor både borgere og selskaber kan tilgå digital post fra offentlige myndigheder og virksomheder. 

Netcompany har ifølge Datatilsynet ikke fulgt databeskyttelsesforordningen i flere tilfælde i forbindelse med udviklingen af løsningen. For det første har selskabet ikke sikret, at der var indbygget passende sikkerhedsforanstaltninger i selve designet af mit.dk, og for det andet havde Netcompany ikke udarbejdet en konsekvensanalyse, da man udviklede mit.dk.

"Uhensigtsmæssig kodning"

Et af problemerne har været, at der var en "uhensigtsmæssig kodning" i den komponent, som sørger for at autentificere brugerne på mit.dk. Den dårlige kodning førte til, at der opstod væsentlige fejl, da mit.dk blev sat i drift i marts 2022. 

Fejlen betød, at brugere kunne få adgang til andre brugeres digitale post og dermed følsomme og fortrolige personoplysninger. Da fejlen blev opdaget, lukkede Netcompany ned for mit.dk-løsningen, men fejlen er yderst kritisk og alvorlig, og hos Datatilsynet slår man nu hårdt ned. Tilsynet peger på, at en af de "mest kritiske og åbenbare risici ved løsningen" netop er, at andre brugere ikke får adgang til post, som de ikke er autoriseret til at tilgå. 

Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden.

Datailsynet mener ikke, at de test, Netcompany har gennemført af løsningen inden lanceringen, var gode nok, da den uhensigtsmæssige kodning ikke blev opdaget. 

- Når man udvikler it-løsninger, skal man – inden man begynder at behandle personoplysninger – identificere de konkrete risici og især de mest kritiske risikoscenarier, som den enkelte it-løsning kan indebære, så man kan tage højde for dem med passende sikkerhedsforanstaltninger, siger Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet, i en pressemeddelelse og fortsætter: 

- Og når man efterfølgende tester sin løsning, er det afgørende, at der er ekstra fokus på de særligt kritiske risikoscenarier. På den måde kan man få udvalgt og gennemført netop de tests, som er relevante og nødvendige for, at man kan fange kritiske fejl i tide.

Afgørende med tillid

Ifølge Datatilsynet medførte fejlene hos Netcompany en høj risiko for brugerne, og tilsynet peger desuden på, at der ikke blev udarbejdet en konsekvensanalyse. 

- Udarbejdelse af en konsekvensanalyse er ikke en formalitet. Analysen er en væsentlig retssikkerhedsgaranti for borgernes rettigheder, når behandlingen af deres oplysninger har en indbygget høj risiko, siger Vibeke Dyssemark Thomsen og fortsætter: 

- Arbejdet med sådan en analyse indebærer nemlig en grundig og struktureret proces, som giver et bedre og mere detaljeret overblik over de risici, som er forbundet med en bestemt løsning, ligesom der i processen skal findes og implementeres de nødvendige foranstaltninger til at imødegå og nedbringe risikoen. Konsekvensanalysen skal være lavet, inden behandlingen går i gang, så man er sikker på, at alle centrale risici er håndteret, og alle høje risici nedbragt.

Datatilsynets chefkonsulent understreger, at sagen er alvolig, og at tilsynet netop aldrig har indstillet til en bøde af den størrelse. 

- Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden. En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned. Løsninger som mit.dk er nødt til at forvalte borgenes data ansvarligt, sikkert og med respekt for den enkeltes privatliv, siger Vibeke Dyssemark Thomsen.

Én fejl for meget

Hos Netcompany lyder det fra topchef André Rogaczewski, at én fejl er én fejl for meget. 

- I det øjeblik den menneskelige fejl blev identificeret tilbage i marts 2022, lukkede Netcompany systemet ned øjeblikkeligt. Derved endte fejlen med potentielt at berøre 10-50 borgeres digitale postkasser på Mit.dk i cirka en time. Det ændrer ikke på, at fejl med én postkasse er én for meget, siger André Rogaczewski til DR. 

- Vi imødekommer, at de rette myndigheder træffer endelig afgørelse i sagen, fortsætter han. 


Læs også...

Ole Tange, it-politisk rådgiver i PROSA, har i denne uge indsendt en klage over Danmarks Radio til Datatilsynet. Det skyldes DRs krav om obligatorisk…

Er du på jagt efter et nyt job i it-branchen? Og er du i tvivl om, hvad virksomhederne især kigger efter? PROSAbladet har spurgt en række…

Fra Baltikums største sciencepark i udkanten af Tallinn sikrer Tehnopol, at hundredvis af startups kommer flyvefærdigt ud i virkeligheden. De får…

Estiske børn og unge får praktisk talt tech ind med modermælken, da it og tech-gadgets er en helt central del af hverdagen i både børnehaver,…

I Estland har borgerne kunne stemme digitalt siden 2005. Der har været kritik og debat, men i dag er det mere end halvdelen af esterne, der bruger…

Hvis man i Estland gerne vil skifte spor i sin karriere, er der en lang række muligheder for at videreuddanne sig inden for it. Skoler og online…

I denne udgave af PROSAbladet har vi lavet et tema-nummer om Estland. Det er sjældent, at vi giver så meget spalteplads til et tema – men det baltiske…

Pulserende krea-værksted klæder estiske børn på med både tech-skills og startup-mentalitet. Der er ingen læreplaner eller kedelige eksamener, men 3D…

Det minder om en blanding af X Factor og Den store bagedyst, og det lægger på 15. år gaderne øde i Estland. Velkommen til tv-talentshowet Rakett69,…

Estland har rykket sig ufattelig langt de seneste 30 år – men hvad skal der ske nu? En af udfordringerne er, at Estland kommer til at mange hænder og…