Datatillsynet polisanmäler Netcompany och rekommenderar att företaget får minst 15 miljoner danska kronor i sanktionsavgift för överträdelser av dataskyddsförordningen (GDPR).
Datatilsynet anser att Netcompany i egenskap av personuppgiftsansvarig inte genomfört lämpliga säkerhetsåtgärder i samband med utvecklingen av mit.dk, inklusive att inte säkerställa att lämpliga säkerhetsåtgärder byggdes in i den faktiska utformningen av lösningen, så kallad Privacy by Design, och för att inte ha utarbetat en konsekvensbedömning avseende dataskydd i samband med utvecklingen av mit.dk.
IT-lösningen mit.dk drivs och ägs av Netcompany, och medborgare och företag kan välja att använda lösningen för att få tillgång till digital post från bland annat offentliga myndigheter. I samband med utvecklingen av mit.dk använde Netcompany olämplig kodning i den komponent som autentiserar användarna av mit.dk. När lösningen gick live den 22 mars 2022 uppstod ett fel nästan omedelbart när flera användare loggade in på lösningen samtidigt, och felet innebar att användarna fick obehörig tillgång till andra användares digitala post och därmed till personuppgifter av både konfidentiell och känslig natur. Detta medförde en onödigt hög risk för alla användare av mit.dk.
Netcompany blev medvetna om den olämpliga kodningen strax efter lanseringen av mit.dk när flera användare kontaktade företaget om att de kunde få tillgång till andra användares information. Lösningen stängdes sedan ned tills den felaktiga kodningen hade rättats till, och överträdelsen rapporterades till Datatilsynet.
Innan mit.dk lanserades utfördes ett antal tester, inklusive kodgranskning, statisk kodanalys och prestandatester, men den olämpliga kodningen upptäcktes inte. Datatilsynet anser att med tanke på syftet med mit.dk var en av de mest kritiska och uppenbara riskerna med lösningen att andra användare skulle få tillgång till digital post som de inte var behöriga att få tillgång till, inklusive post som innehöll konfidentiell och känslig information.
Med tanke på syftet med mit.dk, de personuppgifter som åtkomst beviljas till och det stora antalet användare som skulle använda lösningen, bedömer Datatilsynet också att administrationen och användningen av mit.dk medförde en hög risk för användarna. Någon konsekvensbedömning avseende dataskydd hade dock inte utarbetats.
Utarbetandet av en konsekvensbedömning är enligt Datatilsynet inte en formalitet. Analysen är en väsentlig rättssäkerhetsgaranti för medborgarnas rättigheter när behandlingen av deras uppgifter har en inneboende hög risk. Arbetet med en sådan analys innebär en grundlig och strukturerad process som ger en bättre och mer detaljerad överblick över riskerna med en viss lösning, och processen måste identifiera och genomföra de nödvändiga åtgärderna för att motverka och minska risken. Konsekvensbedömningen måste enligt Datatilsynet göras innan processen påbörjas för att säkerställa att alla viktiga risker hanteras och att alla höga risker minskas.
Datatilsynet gör alltid en konkret bedömning av hur allvarligt fallet är i enlighet med artikel 83.2 GDPR när den bedömer vilken sanktion som, enligt myndighetens uppfattning, är den korrekta. Datatilsynet anser att det i detta fall handlar om en bristfällig process för konsekvensbedömning, olämplig kodning som inte borde ha använts för denna typ av lösning, och att bättre tester av lösningen före driftsättningen borde ha upptäckt felet så att lösningen inte gick sönder direkt vid driftsättningen.
Detta är det största sanktionsavgiften som Datatilsynet hittills har rekommenderat. Förutom allvaret i fallet återspeglar beloppet också det faktum att detta är en mycket stor organisation. Det följer av GDPR att sanktionsavgiften i varje enskilt fall ska vara effektiva, stå i proportion till överträdelsen och ha en avskräckande effekt.