Datatilsynet anser att det finns skäl att framföra kritik mot att EG Digital Welfare ApS behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Datatilsynet har fattat beslut i ett oberoende driftärende gällande IT-systemet Mediconnect, som erbjuds av EG Digital Welfare ApS. Mediconnect kommer bland annat används av kommuner, regioner och försäkringsbolag för att hantera känslig och konfidentiell information om medborgare. I detta sammanhang agerar EG Digital Welfare som personuppgiftsbiträde för Mediconnect IT-system.
Vid en granskning av ärendet kontstaterar Datatilsynet att lösenord i Mediconnect IT-system lagras i klartext och att information av speciella kategorier endast är åtkomlig genom att logga in med användarnamn och lösenord. Enligt Datatilsynet utgör det normalt inte tillräcklig säkerhet att ge tillgång till information av speciella kategorier endast genom att ange användarnamn och lösenord när detta görs över ett nätverk som du inte har kontroll över. Vidare anser Datatilsynet att enfaktorsinloggning innebär en ökad risk för missbruk av åtkomst och risk för att åtkomst delas av flera användare, så att eventuell loggning av åtkomst till systemet inte längre är effektiv, eftersom man inte kan vara säker på vem som faktiskt använde vilka åtkomster. Enligt Datatilsynet ska istället åtkomsten, för att uppfylla gällande dataskyddskrav, utökas utöver användarnamn och lösenord, exempelvis genom multifaktorinloggning, användning av certifikat, tokens eller en PKI-lösning.
Mot bakgrund av att lösenord i Mediconnect IT-system lagrats i klartext och att information av speciella kategorier varit åtkomlig genom att logga in med användarnamn och lösenord framför Datatilsynet kritik mot EG Digital Welfares behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.
Datatilsynet utfärdar också ett föreläggande om att EG Digital Welfare ska genomföra en oåterkallelig kryptering av lösenord, så att dessa inte återfinns i Mediconnect IT-system i klartext. Därutöver har Datatilsynet gett EG Digital Welfare ett föreläggande att säkerställa att inloggningslösningen, som ger tillgång till personuppgifter av speciella kategorier, inte enbart sker med användning av användarnamn och lösenord.