Netcompany er blevet indstillet til en bøde på ikke under 15 mio. kr. for at have overtrådt databeskyttelsesforordningen i flere tilfælde, idet virksomheden som dataansvarlig ikke havde gennemført passende sikkerhedsforanstaltninger i forbindelse med udviklingen af mit.dk, herunder ikke sikret at der blev indbygget passende sikkerhedsforanstaltninger i selve designet af løsningen – såkaldt privacy by design – og for ikke at have udarbejdet en konsekvensanalyse i forbindelse med udviklingen af mit.dk.
Uhensigtsmæssig kodning gav adgang til andre brugeres oplysninger
It-løsningen mit.dk driftes og ejes af Netcompany, og borgere og virksomheder kan vælge at anvende løsningen til at tilgå digital post fra bl.a. offentlige myndigheder.
I forbindelse med udviklingen af mit.dk anvendte Netcompany en uhensigtsmæssig kodning i den komponent, der skal autentificere brugerne af mit.dk. Da løsningen blev sat i drift 22. marts 2022, opstod der derfor næsten med det samme en fejl, når flere brugere loggede ind på løsningen samtidig – og fejlen gjorde, at brugere fik uberettiget adgang til andre brugeres digitale post og dermed til personoplysninger af både fortrolig og følsom karakter. Dette medførte en unødig høj risiko for alle brugere af mit.dk.
Netcompany blev opmærksom på den uhensigtsmæssige kodning kort efter lanceringen af mit.dk, da flere brugere rettede henvendelse til virksomheden om, at de kunne tilgå andre brugeres oplysninger. Løsningen blev herefter lukket ned, indtil den uhensigtsmæssige kodning var udbedret, og bruddet blev anmeldt til Datatilsynet.
Kritiske risikoscenarier skal være i fokus
Inden lanceringen af mit.dk blev der gennemført en række tests, herunder kodereview, statisk kodeanalyse og performancetests, men den uhensigtsmæssige kodning blev ikke opdaget.
Det er Datatilsynets opfattelse, at det med tanke på formålet med mit.dk var en af de mest kritiske og åbenbare risici ved løsningen, at andre brugere fik adgang til digital post, som de ikke var autoriseret til at tilgå, herunder post med fortrolige og følsomme oplysninger.
"Når man udvikler it-løsninger, skal man – inden man begynder at behandle personoplysninger – identificere de konkrete risici og især de mest kritiske risikoscenarier, som den enkelte it-løsning kan indebære, så man kan tage højde for dem med passende sikkerhedsforanstaltninger. Og når man efterfølgende tester sin løsning, er det afgørende, at der er ekstra fokus på de særligt kritiske risikoscenarier. På den måde kan man få udvalgt og gennemført netop de tests, som er relevante og nødvendige for, at man kan fange kritiske fejl i tide," siger Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet.
Med tanke på formålet med mit.dk, de persondata, der gives adgang til, og det store antal brugere, der skulle anvende løsningen, vurderer Datatilsynet endvidere, at administrationen og anvendelsen af mit.dk indebar en høj risiko for brugerne. Der var imidlertid ikke udarbejdet en konsekvensanalyse.
”Udarbejdelse af en konsekvensanalyse er ikke en formalitet. Analysen er en væsentlig retssikkerhedsgaranti for borgernes rettigheder, når behandlingen af deres oplysninger har en indbygget høj risiko. Arbejdet med sådan en analyse indebærer nemlig en grundig og struktureret proces, som giver et bedre og mere detaljeret overblik over de risici, som er forbundet med en bestemt løsning, ligesom der i processen skal findes og implementeres de nødvendige foranstaltninger til at imødegå og nedbringe risikoen. Konsekvensanalysen skal være lavet, inden behandlingen går i gang, så man er sikker på, at alle centrale risici er håndteret, og alle høje risici nedbragt,” forklarer Vibeke Dyssemark Thomsen.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
I denne sag var der efter Datatilsynets opfattelse dels tale om en mangelfuld proces i forhold til konsekvensanalyse, en uhensigtsmæssig kodning, som ikke burde være anvendt til denne type løsning, ligesom bedre test af løsningen inden idriftsættelsen burde have afdækket fejlen, så løsningen ikke fejlede straks ved idriftsættelsen.
"Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden. En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned. Løsninger som mit.dk er nødt til at forvalte borgenes data ansvarligt, sikkert og med respekt for den enkeltes privatliv," siger Vibeke Dyssemark Thomsen.
Det er den største bøde, Datatilsynet hidtil har indstillet til. Ud over sagens alvor afspejler beløbet også, at der er tale om en meget stor virksomhed. Det følger således af databeskyttelsesforordningen, at bøder i hver enkelt sag skal være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende effekt.
Vil du vide mere?
Du kan læse mere om konsekvensanalyser her.
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.