SIKKERHED

Datatilsynet kræver historisk bøde til Netcompany på 15 mio. kr.

Netcompany har ikke levet op til databeskyttelsesforordningen i forbindelse med udviklingen af mit.dk, mener Datatilsynet. Tilsynet har derfor politianmeldt selskabet og kræver, at Netcompany får en bøde på mindst 15 mio. kr.

 

15 millioner kroner. 

Så stor en bøde kræver Datatilsynet, at Netcompany skal betale for at have overtrådt GDPR-reglerne, da selskabet udviklede mit.dk-løsningen. 

Det er den hidtil største bøde, som Datatilsynet har indstillet til, og størrelsen skyldes både, at der er tale om en meget stor virksomhed, samt at sagen er meget alvorlig.

Mit.dk er en ny løsning, hvor både borgere og selskaber kan tilgå digital post fra offentlige myndigheder og virksomheder. 

Netcompany har ifølge Datatilsynet ikke fulgt databeskyttelsesforordningen i flere tilfælde i forbindelse med udviklingen af løsningen. For det første har selskabet ikke sikret, at der var indbygget passende sikkerhedsforanstaltninger i selve designet af mit.dk, og for det andet havde Netcompany ikke udarbejdet en konsekvensanalyse, da man udviklede mit.dk.

"Uhensigtsmæssig kodning"

Et af problemerne har været, at der var en "uhensigtsmæssig kodning" i den komponent, som sørger for at autentificere brugerne på mit.dk. Den dårlige kodning førte til, at der opstod væsentlige fejl, da mit.dk blev sat i drift i marts 2022. 

Fejlen betød, at brugere kunne få adgang til andre brugeres digitale post og dermed følsomme og fortrolige personoplysninger. Da fejlen blev opdaget, lukkede Netcompany ned for mit.dk-løsningen, men fejlen er yderst kritisk og alvorlig, og hos Datatilsynet slår man nu hårdt ned. Tilsynet peger på, at en af de "mest kritiske og åbenbare risici ved løsningen" netop er, at andre brugere ikke får adgang til post, som de ikke er autoriseret til at tilgå. 

Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden.

Datailsynet mener ikke, at de test, Netcompany har gennemført af løsningen inden lanceringen, var gode nok, da den uhensigtsmæssige kodning ikke blev opdaget. 

- Når man udvikler it-løsninger, skal man – inden man begynder at behandle personoplysninger – identificere de konkrete risici og især de mest kritiske risikoscenarier, som den enkelte it-løsning kan indebære, så man kan tage højde for dem med passende sikkerhedsforanstaltninger, siger Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet, i en pressemeddelelse og fortsætter: 

- Og når man efterfølgende tester sin løsning, er det afgørende, at der er ekstra fokus på de særligt kritiske risikoscenarier. På den måde kan man få udvalgt og gennemført netop de tests, som er relevante og nødvendige for, at man kan fange kritiske fejl i tide.

Afgørende med tillid

Ifølge Datatilsynet medførte fejlene hos Netcompany en høj risiko for brugerne, og tilsynet peger desuden på, at der ikke blev udarbejdet en konsekvensanalyse. 

- Udarbejdelse af en konsekvensanalyse er ikke en formalitet. Analysen er en væsentlig retssikkerhedsgaranti for borgernes rettigheder, når behandlingen af deres oplysninger har en indbygget høj risiko, siger Vibeke Dyssemark Thomsen og fortsætter: 

- Arbejdet med sådan en analyse indebærer nemlig en grundig og struktureret proces, som giver et bedre og mere detaljeret overblik over de risici, som er forbundet med en bestemt løsning, ligesom der i processen skal findes og implementeres de nødvendige foranstaltninger til at imødegå og nedbringe risikoen. Konsekvensanalysen skal være lavet, inden behandlingen går i gang, så man er sikker på, at alle centrale risici er håndteret, og alle høje risici nedbragt.

Datatilsynets chefkonsulent understreger, at sagen er alvolig, og at tilsynet netop aldrig har indstillet til en bøde af den størrelse. 

- Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden. En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned. Løsninger som mit.dk er nødt til at forvalte borgenes data ansvarligt, sikkert og med respekt for den enkeltes privatliv, siger Vibeke Dyssemark Thomsen.

Én fejl for meget

Hos Netcompany lyder det fra topchef André Rogaczewski, at én fejl er én fejl for meget. 

- I det øjeblik den menneskelige fejl blev identificeret tilbage i marts 2022, lukkede Netcompany systemet ned øjeblikkeligt. Derved endte fejlen med potentielt at berøre 10-50 borgeres digitale postkasser på Mit.dk i cirka en time. Det ændrer ikke på, at fejl med én postkasse er én for meget, siger André Rogaczewski til DR. 

- Vi imødekommer, at de rette myndigheder træffer endelig afgørelse i sagen, fortsætter han. 


Læs også...

Jargon har i årevis samlet forklaringer på tech-forkortelser, it-udtryk og ord. Det er blevet til et ret massiv og enkelt opslagsværk over it-kultur…

Isak Juel Nielsen er 20 år og studerer datalogi på Syddansk Universitet.

I Estland vokser udviklingen derfor også nedefra, fordi de lytter oppefra. Det har gjort dem til verdensmestre i iværksætteri, og det har skabt…

PROSA oplever en tendens til at muligheden for hjemmearbejde blandt vores medlemmer indskrænkes. Regler om hjemmearbejde er langt de fleste steder et…

Lønsamtaler kan give sved på panden, men med den rette strategi kan du forlade chefens kontor med mere i lønningsposen. Mariam Senounou er jurist hos…

Man kan lære mange ting på skolebænken, men meget læring kommer også fra virkeligheden. Det har tre software design-studerende i den grad mærket på…

Microsoft vil starte en atomreaktor op igen for at give grøn strøm til deres datacentre, specielt dem med AI. Hvis det reelt går igennem, og de får…

En ny feature i et af Googles AI-værktøjer gør det muligt at lave en podcast på få minutter. Featuren er så nem at bruge, at den egentlig ikke behøver…

Millioner af udviklere verden over bruger hver dag JavaScript – men hvorfor er programmeringssproget blevet så populært? PROSAbladet har talt med…

Et nyt projekt indsamler danske stemmer for at sikre, at AI-løsninger fremover også kan tale med dialekter. Du kan også donere din stemme, skriver DR.…