Datatilsynet anser att det finns skäl att framföra kritik mot att e-Boks behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår bland annat att Datatilsynet i mars 2021 uppmärksammats på att det varit möjligt att komma åt en annan användares profil genom att logga in på e-Boks Express. I april 2021 informerade användaren Datatilsynet om att samma sak hänt igen när han klickat på “Logga in på e-Boks Express”. Datatilsynet inledde därför ett ärende mot e-Boks.
Enligt Datatilsynet är e-Boks Express är en självbetjäningsportal där företag kan skicka meddelanden och dokument. Ett fel i Nets uppsättning av användarvalideringen av NemID gjorde att när en användare fick åtkomst till e-Boks Express genom att logga in med NemID Business/NemID medarbetarsignatur med nyckelkort kunde tillgång etableras till andra företags information och information om skickade dokument i e-Box Express. Enligt e-Boks har NemID använts i e-Boks Express för att säkerställa att endast de personer som är auktoriserade av det sändande företaget har tillgång till e-Boks Express.
På grundval av vad som anförts anser Datatilsynet därför att ett fel i Nets uppsättning av användarvalideringen av NemID inneburit att när en användare fått åtkomst till e-Boks Express genom att logga in med NemID Business/NemID medarbetarsignatur med nyckelkort, har tillgång till andra sändande företags affärsinformation och titeln på skickade dokument samt tidpunkten för sändningen fastställts.
Enligt Datatilsynet har det således förekommit obehörig åtkomst till personuppgifter, varför myndigheten finner att det inträffat en personuppgiftsincident, jfr artikel 4.12 GDPR. Det följer av artikel 32.1 GDPR, att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således en skyldighet att identifiera de risker som personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker. Enligt Datatilsynet kommer kravet enligt artikel 32 GDPR på lämplig säkerhet normalt att innebära att förändringar av befintliga it-lösningar och utveckling av nya lösningar endast bör ske med ett ordentligt fokus på säkerhet, både i samband med utveckling och testning av lösningen.
På grundval av detta finner Datatilsynet att e-Boks, genom att inte ha utfört tester av alla relevanta användningsscenarier vid inloggning på e-Boks Express med NemID Business/NemID medarbetarsignatur med nyckelkort, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som är involverade i behandlingen av personuppgifter av e-Boks i enlighet med artikel 32.1 GDPR.
Enligt Datatilsynet har e-Boks baserat säkerheten på att en inloggning upprättats med NemID, trots att det inte skyddade mot obehörig åtkomst till data. Datatilsynet noterar att det är viktigt att testning även ska avslöja eventuella felscenarier i den valda inloggningskomponenten, i det specifika fallet möjligheterna att ha olika implementeringar av NemID hos användarna.
Datatilsynet noterar vidare i detta sammanhang att en inloggning används för att identifiera den användare som använder it-lösningen. Efter inloggning måste de rättigheter en användare härrör från säkerställa att åtkomst till data är exakt vad denna användare måste ha tillgång till. e-Boks borde alltså enligt Datatilsynet ha upptäckt genom att testa att e-Boks Express gav tillgång till andra användares data trots att användaridentifieringen misslyckades.
Efter en genomgång av ärendet finner därför Datatilsynet att det finns skäl att framföra kritik mot att e-Boks behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.
Datatilsynet har vid val av svar i förmedlande riktning framhållit att intrånget inte gett möjlighet att se annan information än kontaktperson, företagsnamn, självvald titel på skickade meddelanden och dokument samt tidpunkten för sändning. Datatilsynet har dessutom framhållit att utnyttjande av felet endast kunde ske efter inloggning med NemID Business/NemID anställd signatur med nyckelkort vilket, även om det inte kunde förhindra möjligheten till missbruk, skulle ge användarna intrycket att de kan avslöjas, om de utnyttjade sårbarheten och att detta möjligen kan avskräcka dem från att göra det. Dessutom var det bara kunder som använde e-Boks Express som kunde dra nytta av felet, vilket begränsade antalet personer som kunde upptäcka och missbruka det.