Search
Close this search box.

Danmark: Datatilsynet polisanmäler Netcompany och rekommenderar böter på minst 15 miljoner danska kronor

Datatillsynet polisanmäler Netcompany och rekommenderar att företaget bötfälls med minst 15 miljoner danska kronor för överträdelser av dataskyddsförordningen (GDPR).

Datatilsynet anser att Netcompany i egenskap av personuppgiftsansvarig inte genomfört lämpliga säkerhetsåtgärder i samband med utvecklingen av mit.dk, inklusive att inte säkerställa att lämpliga säkerhetsåtgärder byggdes in i den faktiska utformningen av lösningen, så kallad Privacy by Design, och för att inte ha utarbetat en konsekvensbedömning avseende dataskydd i samband med utvecklingen av mit.dk.

IT-lösningen mit.dk drivs och ägs av Netcompany, och medborgare och företag kan välja att använda lösningen för att få tillgång till digital post från bland annat offentliga myndigheter. I samband med utvecklingen av mit.dk använde Netcompany olämplig kodning i den komponent som autentiserar användarna av mit.dk. När lösningen gick live den 22 mars 2022 uppstod ett fel nästan omedelbart när flera användare loggade in på lösningen samtidigt, och felet innebar att användarna fick obehörig tillgång till andra användares digitala post och därmed till personuppgifter av både konfidentiell och känslig natur. Detta medförde en onödigt hög risk för alla användare av mit.dk.

Netcompany blev medvetna om den olämpliga kodningen strax efter lanseringen av mit.dk när flera användare kontaktade företaget om att de kunde få tillgång till andra användares information. Lösningen stängdes sedan ned tills den felaktiga kodningen hade rättats till, och överträdelsen rapporterades till Datatilsynet.

Innan mit.dk lanserades utfördes ett antal tester, inklusive kodgranskning, statisk kodanalys och prestandatester, men den olämpliga kodningen upptäcktes inte. Datatilsynet anser att med tanke på syftet med mit.dk var en av de mest kritiska och uppenbara riskerna med lösningen att andra användare skulle få tillgång till digital post som de inte var behöriga att få tillgång till, inklusive post som innehöll konfidentiell och känslig information.

Med tanke på syftet med mit.dk, de personuppgifter som åtkomst beviljas till och det stora antalet användare som skulle använda lösningen, bedömer Datatilsynet också att administrationen och användningen av mit.dk medförde en hög risk för användarna. Någon konsekvensbedömning avseende dataskydd hade dock inte utarbetats.

Utarbetandet av en konsekvensbedömning är enligt Datatilsynet inte en formalitet. Analysen är en väsentlig rättssäkerhetsgaranti för medborgarnas rättigheter när behandlingen av deras uppgifter har en inneboende hög risk. Arbetet med en sådan analys innebär en grundlig och strukturerad process som ger en bättre och mer detaljerad överblick över riskerna med en viss lösning, och processen måste identifiera och genomföra de nödvändiga åtgärderna för att motverka och minska risken. Konsekvensbedömningen måste enligt Datatilsynet göras innan processen påbörjas för att säkerställa att alla viktiga risker hanteras och att alla höga risker minskas.

Datatilsynet gör alltid en konkret bedömning av hur allvarligt fallet är i enlighet med artikel 83.2 GDPR när den bedömer vilken sanktion som, enligt myndighetens uppfattning, är den korrekta. Datatilsynet anser att det i detta fall handlar om en bristfällig process för konsekvensbedömning, olämplig kodning som inte borde ha använts för denna typ av lösning, och att bättre tester av lösningen före driftsättningen borde ha upptäckt felet så att lösningen inte gick sönder direkt vid driftsättningen.

Detta är det största bötesbelopp som Datatilsynet hittills har rekommenderat. Förutom allvaret i fallet återspeglar beloppet också det faktum att detta är en mycket stor organisation. Det följer av dataskyddsförordningen att böterna i varje enskilt fall ska vara effektiva, stå i proportion till överträdelsen och ha en avskräckande effekt.

Mer information

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.