Danmark: EG Digital Welfare får kritik för otillräckliga säkerhetsåtgärder

Datatilsynet anser att det finns skäl att framföra kritik mot att EG Digital Welfare ApS behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR). 

Datatilsynet har fattat beslut i ett oberoende driftärende gällande IT-systemet Mediconnect, som erbjuds av EG Digital Welfare ApS. Mediconnect kommer bland annat används av kommuner, regioner och försäkringsbolag för att hantera känslig och konfidentiell information om medborgare. I detta sammanhang agerar EG Digital Welfare som personuppgiftsbiträde för Mediconnect IT-system. 

Vid en granskning av ärendet kontstaterar Datatilsynet att lösenord i Mediconnect IT-system lagras i klartext och att information av speciella kategorier endast är åtkomlig genom att logga in med användarnamn och lösenord. Enligt Datatilsynet utgör det normalt inte tillräcklig säkerhet att ge tillgång till information av speciella kategorier endast genom att ange användarnamn och lösenord när detta görs över ett nätverk som du inte har kontroll över. Vidare anser Datatilsynet att enfaktorsinloggning innebär en ökad risk för missbruk av åtkomst och risk för att åtkomst delas av flera användare, så att eventuell loggning av åtkomst till systemet inte längre är effektiv, eftersom man inte kan vara säker på vem som faktiskt använde vilka åtkomster. Enligt Datatilsynet ska istället åtkomsten, för att uppfylla gällande dataskyddskrav, utökas utöver användarnamn och lösenord, exempelvis genom multifaktorinloggning, användning av certifikat, tokens eller en PKI-lösning.

Mot bakgrund av att lösenord i Mediconnect IT-system lagrats i klartext och att information av speciella kategorier varit åtkomlig genom att logga in med användarnamn och lösenord framför Datatilsynet kritik mot EG Digital Welfares behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Datatilsynet utfärdar också ett föreläggande om att EG Digital Welfare ska genomföra en oåterkallelig kryptering av lösenord, så att dessa inte återfinns i Mediconnect IT-system i klartext. Därutöver har Datatilsynet gett EG Digital Welfare ett föreläggande att säkerställa att inloggningslösningen, som ger tillgång till personuppgifter av speciella kategorier, inte enbart sker med användning av användarnamn och lösenord.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: EG Digital Welfare ApS

Beslutsnummer: 2021-431-0144

Beslutsdatum: 2022-07-07

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.