Journalnummer: 2023-442-0197.
Resumé
Digitaliseringsstyrelsen anmeldte den 24. marts 2022, 8. april 2022, 10. november og 27. februar 2023 i alt fire brud på persondatasikkerheden til Datatilsynet. Sikkerhedsbruddene opstod som følge af en række fejl i forbindelse med overgangen til Næste generations Digital Post (NgDP), som blev idriftsat den 21. marts 2022.
De anmeldte sikkerhedsbrud bestod i:
- Utilsigtet aktivering af læserettigheder til andres postkasser pga. misforståelser i forbindelse med en datamigrering fra det forhenværende Digital Post til NgDP.
- Manglende og fejlagtig ophævelse af læserettigheder til postkasser forårsaget af en kodningsfejl i den funktionalitet, der muliggjorde ophævelse af læserettigheder.
- Brugere med læserettigheder til et stort antal postkasser mistede læserettighederne til disse postkasser pga. en systemfejl i NgDP.
- Utilsigtet tilmelding af borgere til NgDP, der skyldtes fejl ved datamigreringen fra Digital Post til NgDP og en efterfølgende indlæsning af data fra Det Centrale Personregister (CPR).
Herudover offentliggjorde Digitaliseringsstyrelsen driftsopdateringer på digitalisér.dk den 29. august 2023 og den 31. august 2023, hvoraf det fremgik, at en ny release i Digital Post-løsningen den 23. august 2023 havde resulteret i utilsigtede ændringer af tilmeldingsstatus for en række borgere og virksomheder, hvilket medførte, at Datatilsynet valgte at indlede en sag af egen drift over for Digitaliseringsstyrelsen.
Datatilsynet udtaler alvorlig kritik
Datatilsynet har truffet en samlet afgørelse i de fem sager. Tilsynet har i afgørelsen fundet anledning til at udtale alvorlig kritik af, at Digitaliseringsstyrelsen ikke havde truffet passende tekniske og organisatoriske foranstaltninger forud for idriftsættelsen af NgDP og systemopdateringen den 23. august 2023. Datatilsynet har i den forbindelse bl.a. lagt vægt på, at NgDP på nationalt niveau udgør den primære kommunikationskanal mellem myndigheder, borgere og virksomheder, hvori der behandles et stort antal personoplysninger, og hvor afsendelse og modtagelse af meddelelser kan have retsvirkning. Derfor kan utilstrækkelige sikkerhedsforanstaltninger have betydelige konsekvenser for et stort antal registrerede, og eventuelle fejl kan få alvorlig indvirkning på den enkelte registreredes rettigheder.
Det er i den forbindelse generelt Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at der stilles højere krav til dataansvarlige, der udbyder offentlige systemer og løsninger til et stort antal brugere - særligt når disse brugere i mange tilfælde ikke har mulighed for at fravælge løsningen.
Afgørelse
Datatilsynet vender hermed tilbage i sagerne, hvor Digitaliseringsstyrelsen den 24. marts 2022, 8. april 2022, 10. november 2022 og den 27. februar 2023 har anmeldt brud på persondatasikkerheden til Datatilsynet.
Datatilsynet vender ligeledes tilbage i sagen, som tilsynet startede af egen drift den 5. december 2023 vedrørende utilsigtet ændring af tilmeldingsstatus for borgere i Næste generations Digital Post, som Digitaliseringsstyrelsen er dataansvarlig for. Datatilsynet startede sagen op af egen drift på baggrund af Digitaliseringsstyrelsens driftsopdateringer af 29. august 2023 og 31. august 2023, hvor styrelsen meddelte, at der utilsigtet var sket ændringer af tilmeldingsstatus for borgere og virksomheder i Digital Post-løsningen.
Sagerne har følgende journalnumre og referencenumre:
- Journalnummer 2023-442-0139
- Journalnummer 2023-442-0211
- Journalnummer 2023-442-0147
- Journalnummer 2023-442-0197
- Journalnummer 2023-432-0024 (Egen drift sag)
1. Afgørelse
Efter en gennemgang af sagerne finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagerne og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Digitaliseringsstyrelsen har til sagen oplyst, at styrelsen er dataansvarlig for NgDP, og at Netcompany A/S er databehandler for NgDP.
Den 21. marts 2022 skiftede Digitaliseringsstyrelsen – der er dataansvarlig for Digital Post-løsningen – leverandør, og Netcompany A/S – som afløste e-Boks A/S – blev den nye leverandør af løsningen.
Den nye Digital Post-løsning, der erstattede den forhenværende Digital Post (herefter Digital Post), blev introduceret under navnet ”Næste generations Digital Post” (herefter NgDP).
Forud for lanceringen af NgDP den 21. marts 2022, blev der foretaget en flytning af data fra Digital Post til NgDP. Det var i forbindelse med datamigreringen og overgangen fra e-Boks A/S til Netcompany A/S, at der opstod en række fejl, som førte til brud på persondatasikkerheden.
Digitaliseringsstyrelsen har den 24. marts 2022, 8. april 2022, 10. november 2022 og 27. februar 2023 anmeldt fire brud på persondatasikkerheden til Datatilsynet.
Den 5. december 2023 startede Datatilsynet en sag af egen drift vedrørende utilsigtede ændringer af tilmeldingsstatus, som opstod i forbindelse med en systemopdatering i NgDP den 23. august 2023.
Sagsfremstillingen for hver sag vil blive beskrevet særskilt nedenfor.
2.1.
Utilsigtet aktivering af læserettigheder til andres postkasser i NgDP som følge af misforståelser i forbindelse med en datamigrering fra Digital Post til NgDP (2023-442-0139)
Digitaliseringsstyrelsen anmeldte den 24. marts 2022 et sikkerhedsbrud til Datatilsynet, som skyldtes, at læserettigheder til digitale postkasser – 143 borgerpostkasser og 313 virksomhedspostkasser – ikke var blevet nedlagt, selvom rettighederne var udløbet.
Digitaliseringsstyrelsen har i anmeldelsen oplyst, at fejlen skete i forbindelse med migreringen af data fra det forhenværende Digital Post til NgDP, og at fejlen opstod den 21. marts 2022, hvor NgDP blev idriftsat.
Fejlen blev opdaget den 22. marts 2022 og forsøgt rettet den 22. marts 2022 og 28. marts 2022, men fejlen blev først endeligt rettet for alle de berørte brugere den 9. maj 2022, da Digitaliseringsstyrelsen opdagede, at de tidligere rettelser ikke løste problemet for alle de berørte brugere.
Digitaliseringsstyrelsen har i deres udtalelse af 30. maj 2022 oplyst, at fejlen skete i forbindelse med migreringen af data fra det forhenværende Digital Post til NgDP fra fredag den 18. marts 2022 kl.17.00 til og med den 21. marts 2022 kl. 09.00. Digitaliseringsstyrelsen har til sagen oplyst, at årsagen til hændelsen var en menneskelig fejl ved kortlægningen af læserettighedstyperne i forbindelse med datamigreringen fra Digital Post til NgDP.
Digitaliseringsstyrelsen har i deres udtalelse af 30. maj 2022 oplyst, at i alt 6425 brugere loggede ind og tilgik virksomhedspostkasser, mens de havde forkerte rettigheder. Digitaliseringsstyrelsen har endvidere oplyst, at i alt 15.097 brugere loggede ind og tilgik borgerpostkasser, mens de havde forkerte rettigheder.
Digitaliseringsstyrelsen har i deres udtalelse af 9. september 2022 anført, at der blev åbnet meddelelser i 118 borgerpostkasser og 341 virksomhedspostkasser af brugere, der ikke burde have læserettigheder til postkasserne. Digitaliseringsstyrelsen har oplyst, at ejerne af disse postkasser er blevet underrettet om sikkerhedshændelsen.
Digitaliseringsstyrelsen har i deres udtalelse af 9. september 2022 anført, at grundlaget for datamigreringen – herunder læserettigheder – var baseret på en dialog mellem den nuværende leverandør, Netcompany A/S, og den afgivende leverandør, e-Boks A/S. Der har efterfølgende vist sig at være en misforståelse i kommunikationen mellem leverandørerne.
Designet for datamigrering var udarbejdet ud fra en forudsætning om, at det kun var aktive læserettigheder, der ville blive udleveret af den afgivende leverandør. I den forbindelse har Digitaliseringsstyrelsen oplyst, at man af denne grund ikke havde analyseret eller designet efter et scenarie med migrering af ikke-aktive læserettigheder. Digitaliseringsstyrelsen har endvidere oplyst, at der af samme grund heller ikke foreligger dokumentation for en mapning eller filtrering, der tager hensyn til en læserettighedsstatus, som enten er aktiv eller ikke-aktiv.
Digitaliseringsstyrelsen har i deres udtalelse af 7. november 2023 oplyst, at misforståelsen mellem den afgivende og modtagende leverandør specifikt skyldtes, at det i forbindelse med datamigreringen blev antaget, at en bestemt opmærkning hos den afgivende leverandør betød, at der var tale om en aktiv læserettighed, hvilket ikke var tilfældet. Antagelsen og eventuelle testcases var derfor baseret på den fejlagtige forståelse af, hvordan de migrererede data fra den afgivende leverandør skulle forstås.
Digitaliseringsstyrelsen har videre oplyst, at bruddet opstod grundet en menneskelig fejl, som ikke kunne opdages gennem test, fordi testen ville være baseret på samme misforståelse mellem parterne.
Digitaliseringsstyrelsen har i deres udtalelse af 7. november 2023 oplyst, at der i forbindelse med udvikling af NgDP var opsat testmiljø, der bestod i QA-, Test-, Præ-Prod og Prod-miljøer forud for implementeringen.
2.2.
En kodningsfejl i en funktionalitet i NgDP førte til manglende og fejlagtig ophævelse af læserettigheder til postkasser (2023-442-0211)
Digitaliseringsstyrelsen anmeldte den 27. februar 2023 et sikkerhedsbrud, som omhandlede fejl i den funktionalitet, der muliggjorde ophævelse af læserettigheder i NgDP. Digitaliseringsstyrelsen har oplyst, at en borger kan oprette læserettigheder til sin digitale postkasse, som giver en anden person mulighed for at tilgå borgerens post fra offentlige afsendere. Borgere kan ved fysisk fremmøde i borgerservice ophæve en læserettighed, som denne tidligere har tildelt en anden person. Digitaliseringsstyrelsen har i anmeldelsen oplyst, at kodningen i funktionaliteten, som muliggjorde ophævelsen, var behæftet med fejl.
Digitaliseringsstyrelsen har i deres udtalelse af 11. april 2023 oplyst, at fejlen havde været til stede siden NgDP blev sat i drift den 21. marts 2022. Ved udviklingen af NgDP blev der udviklet et modul til rettighedsstyring betegnet ”Administrativ Adgang”. Digitaliseringsstyrelsen har oplyst, at fejlen opstod, når en borgerservicemedarbejder via systemet ”Administrativ Adgang” – på en borgers anmodning – ophævede en læserettighed. Handlingen bevirkede i nogle tilfælde, at læserettigheden, der blev ophævet, var til en anden borgers postkasse end den tilsigtede borger, der var blevet fremsøgt i systemet. Fejlen medførte, at en række borgere, der mødte fysisk frem hos borgerservice med det pågældende ærinde, ikke fik ophævet en læserettighed til deres egen postkasse. I stedet medførte det, at personen med læserettigheden fik ophævet en læserettighed til en anden borgers postkasse.
Digitaliseringsstyrelsen har anført, at det under en efterfølgende og større regressionstest blev opdaget, at hvis en person havde læserettigheder til flere postkasser, så var det altid den øverste læserettighed i oversigten, der blev fjernet, uanset om det var den læserettighed, som borgerservicemedarbejderen havde søgt frem og valgt at fjerne. Det fremgår af Digitaliseringsstyrelsens udtalelse, at man ikke havde identificeret dette specifikke scenarie i forbindelse med idriftsættelse af NgDP, hvorfor dette ikke var blevet testet tidligere. Hvis dette specifikke scenarie var tænkt ind i deres tests tidligere, så var fejlen også blevet identificeret tilsvarende tidligere.
Digitaliseringsstyrelsen har videre anført i deres udtalelse af 11. april 2023, at hændelsen har haft den konsekvens, at 12 læserettigheder – som 9 borgere og 1 virksomhed fik tildelt – til 12 borgeres postkasser fortsat har været aktive, selvom de efter anmodning til borgerservice skulle have været nedlagt. De brugere, som havde en uberettiget læserettighed til en postkasse, kunne dermed fortsat læse (ny) post i postkassen efter den dato, hvor læserettigheden skulle have været nedlagt. Logs viser, at der var uberettiget logins i 10 af postkasserne i perioden, hvor fejlen stod på.
En anden konsekvens af fejlen var, at 23 berettigede læserettigheder til 20 forskellige borgeres postkasser og 1 virksomheds postkasse blev slettet. Læserettighederne var tildelt 14 borgere og en virksomhed. Fejlen indebar, at 14 borgere og én virksomhed ikke havde adgang til de postkasser, som de med rette burde have haft adgang til.
Fejlen er blevet rettet, og de berørte er blevet underrettet om bruddet.
Digitaliseringsstyrelsen har i deres udtalelse af 11. april 2023 oplyst, at styrelsen havde kravstillet funktionaliteten og havde testet, at løsningen levede op til krav og acceptkriterier inden NgDP blev idriftsat. Funktionaliteten gik igennem en QA (kvalitetskontrol) og test, hvor det blev testet, at funktionaliteten, som muliggjorde ophævelse af læseadgange, levede op til kravene og acceptkriterierne.
Det fremgår videre af udtalelsen, at Digitaliseringsstyrelsen inden funktionaliteten blev taget i brug sikrede, at alle acceptkriterier var dækket af automatiske test. Herudover undergik funktionaliteten ”end-to-end tests”. Digitaliseringsstyrelsen har uddybet, at denne softwaretestmetode tester applikationsflowet fra start til slut, og formålet med testformen var at simulere det virkelige brugerscenarie og validere det testede system samt dets komponenter til integration og dataintegritet.
Efter idriftsættelse af ”Administrativ Adgang”, blev der foretaget regressionstests ved hver release (lancering af ny version af software), for at sikre, at det var muligt for en borgerservicemedarbejder at tildele og efterfølgende fjerne en læserettighed til en borgers postkasse. Regressionstest udføres for at kontrollere, at kodeændringer i softwaren ikke påvirker produktets eksisterende funktionalitet, og for at sikre, at produktet fungerer med en ny funktionalitet, fejlrettelser eller enhver ændring i den eksisterende funktionalitet.
Digitaliseringsstyrelsen har oplyst, at der blev udført regressionstest i forbindelse med en ny version af softwaren. Sådanne test udføres i et internt testmiljø (QA-miljøet) og i et eksternt rettet testmiljø (som er tilgængeligt for fx myndigheder, der skal teste deres egne systemer op i mod NgDP) inden det blev lagt i produktionsmiljøet. Digitaliseringsstyrelsen har oplyst, at der blev udført 67 regressionstests i det interne miljø siden den 3. januar 2022 og 74 regressionstests i det eksterne rettede testmiljø siden den 5. januar 2022.
Digitaliseringsstyrelsen har i deres udtalelse af 11. april 2023 oplyst, at årsagen til, at kodningsfejlen ikke blev identificeret gennem de udførte tests skyldes, at de udførte regressionstest kun tog højde for at sikre, at det i brugergrænsefladen for borgeren, som ejer postkassen, var den korrekte læseadgang, der blev fjernet i de situationer, hvor borgeren havde givet læserettigheder til flere brugere. Brugergrænsefladen viste dermed korrekt antal læserettigheder overfor borgeren, som ejede postkassen. Digitaliseringsstyrelsen har dog oplyst, at det i brugergrænsefladen i ”Administrativ Adgang” ikke var muligt at se, hvor mange læserettigheder brugeren ellers havde til øvrige borgeres postkasser. Digitaliseringsstyrelsen har oplyst, at dette bl.a. var årsagen til, at fejlen først blev identificeret omkring et år efter ibrugtagningen af NgDP.
Digitaliseringsstyrelsen har endelig oplyst, at årsagen til, at fejlen først blev konstateret den 24. februar 2023 – ca. et år efter NgDP blev sat i drift den 21. marts 2022 – skyldtes, at der ikke blev foretaget ændringer i funktionaliteten siden systemet blev taget i brug. Funktionen havde derfor været dækket af en regressionstest, som omfatter den normale funktionalitet med tildeling og ophævelse af læserettighed, men ikke den særlige konstellation, hvor en bruger havde flere aktive læserettigheder. Digitaliseringsstyrelsen har oplyst, at fejlen blev fundet under en særlig grundig regressionstest i forbindelse med en større opgradering i underliggende komponenter.
2.3.
En systemfejl i NgDP førte til, at brugere med læserettigheder til et stort antal af postkasser mistede adgangen til disse (2023-442-0147)
Digitaliseringsstyrelsen anmeldte den 8. april 2022 et brud på persondatasikkerheden vedrørende fejl i NgDP, hvor slutbrugere ikke kunne tilgå deres egne postkasser eller postkasser, som de havde læserettigheder til. Digitaliseringsstyrelsen har i anmeldelsen oplyst, at brugeren ved login blev mødt med en blank side eller en side, der vedvarende indlæste. Digitaliseringsstyrelsen har i øvrigt oplyst, at fejlen kun optrådte ved login for brugere med læserettigheder til flere postkasser. Digitaliseringsstyrelsen har oplyst, at fejlen opstod i forbindelse med overgangen fra det forhenværende Digital Post til NgDP. Det fremgår videre af anmeldelsen, at fejlen stod på siden 21. marts 2022, hvor NgDP blev idriftsat, og at fejlen blev konstateret den 25. marts 2022.
Det fremgår af Digitaliseringsstyrelsens opfølgende anmeldelse af 17. maj 2022, at fejlen opstod i forbindelse med kortlægningen af rettigheder, som resulterede i en systemfejl. Digitaliseringsstyrelsen har oplyst, at design og specifikation af snitfladen mellem visningsklienterne (Rettighedsportal, e-Boks, mit.dk, Virk og borger.dk) og NgDP ikke var tilstrækkelig til at håndtere en del af de brugere, som havde mange rettigheder på tværs af postkasser. Digitaliseringsstyrelsen har oplyst, at hvis en bruger (borger eller virksomhed) havde mange rettigheder, eksempelvis læserettigheder til mange borger- eller virksomhedspostkasser, så kunne NgDP ikke håndtere den store mængde af data der var forbundet med disse brugere, idet NgDP både skulle hente og udstille data på én gang.
Digitaliseringsstyrelsen har endvidere præciseret, at fejlen berørte 7.166 slutbrugere, og at håndteringen af hændelsen foregik over flere faser, og fejlen endeligt blev rettet den 3. maj 2022.
Det fremgår af Digitaliseringsstyrelsens udtalelse af 29. juni 2022, at styrelsen løste problemerne for de brugere, der henvendte sig til styrelsen. Digitaliseringsstyrelsen har endvidere oplyst, at 2.642 ud af de 7.166 berørte brugere ikke forsøgte at logge på NgDP, og brugerne dermed ikke opdagede den manglende adgang. I Digitaliseringsstyrelsens første anmeldelse af 8. april 2022 har styrelsen anført, at offentligheden er blevet informeret om hændelsen gennem virk.dk.
Det fremgår videre af udtalelsen af 29. juni 2022, at fejlen optrådte for brugere som havde mange læserettigheder. Digitaliseringsstyrelsen har i forlængelse heraf oplyst, at enkelte brugere havde op til 400 og 700 læserrettigheder. Digitaliseringsstyrelsen har desuden oplyst, at det ikke var velkendt, at nogle borgere og medarbejdere havde så mange læserettigheder til andres postkasser, hvorfor denne usecase (tilstand) ikke var dækket i kvalitetssikringen af NgDP og visningsklienter-projekterne (Rettighedsportal, e-Boks, mit.dk, Virk og borger.dk).
Det fremgår i øvrigt af Digitaliseringsstyrelsens udtalelse, at de brugere, der blev ramt af hændelsen, primært udgjorde borgere og virksomheder, som varetager en postkasse på andres vegne, og der var tale om en større gruppe af værger og advokater, som typisk har mange læserettigheder. Digitaliseringsstyrelsen har oplyst, at de sandsynlige konsekvenser ved bruddet var, at disse værger grundet fejlen var forhindret i at varetage deres administration af NgDP på vegne af andre. Derudover var borgere under værgemål, som ikke selv kunne varetage NgDP, muligvis forhindret i at kunne agere på meddelelser fra myndigheder.
2.4.
Utilsigtet tilmelding af borgere i NgDP som følge af en datamigrering fra Digital Post til NgDP samt en efterfølgende indlæsning af data fra CPR (2023-442-0197)
Digitaliseringsstyrelsen anmeldte den 10. november 2022 et brud på persondatasikkerheden, hvor 42.834 borgere fejlagtigt blev tilmeldt NgDP.
Digitaliseringsstyrelsen konstaterede fejlen den 4. november 2022, da en række udrejste borgere havde kontaktet ATP, fordi de ikke havde fået udbetalt pension. Dette skyldtes, at borgerne ikke havde udfyldt og returneret deres årlige leveattester fra ATP Livslang Pension, som var sendt digitalt til borgerne via NgDP i stedet for fysisk post, idet de ved en fejl var blevet tilmeldt NgDP.
Det fremgår af Digitaliseringsstyrelsens opfølgende anmeldelse af 1. december 2022 og styrelsens udtalelse af 31. august 2023, at fejlen opstod i forbindelse med datamigreringen fra Digital Post til NgDP samt ved en efterfølgende indlæsning af data fra CPR. Digitaliseringsstyrelsen har oplyst, at tilmeldingslisterne fra den afgivende leverandør (e-Boks A/S) ikke indeholdte alle borgere med relevant status (dvs. tilmeldt eller fritaget). Det er ligeledes oplyst, at Digitaliseringsstyrelsen i forbindelse med datamigreringen fra Digital Post til NgDP ikke var opmærksom på, at der manglede oplysninger i det overleverede data fra den afgivende leverandør (e-Boks A/S).
En efterfølgende indlæsning af data fra CPR resulterede i, at en delmængde af borgere, som ikke blev migreret fra e-Boks A/S, ved en fejl blev indlæst i NgDP med status ”tilmeldt”.
Digitaliseringsstyrelsen har i deres udtalelse af 31. august 2023 uddybet, at logikken i NgDP, som håndterede ”nye” borgere fra CPR, ikke var korrekt opsat til at håndtere de borgere, der blev indlæst fra CPR. Det skyldtes, at logikken forudsatte, at borgere allerede var kendt i det forhenværende Digital Post og enten havde status ”tilmeldt” eller ”fritaget”.
Digitaliseringsstyrelsen har ligeledes oplyst, at der hverken før datamigreringen fra Digital Post til NgDP eller før indlæsningen af data fra CPR blev foretaget en kontrolsammenligning af det data, der blev overleveret fra e-Boks A/S, og det data, der blev indlæst fra CPR.
Digitaliseringsstyrelsen har oplyst, at der før bruddet indtræf var gennemført tekniske og organisatoriske foranstaltninger i form af kontroller. Digitaliseringsstyrelsen har i deres udtalelse af 31. august 2023 oplyst, at der blev gennemført kontroller af korrekt oprettelse af nye borgere i NgDP, herunder bl.a. kontrol af korrekt oprettelse af postkasser og tilmeldingsstatus, når disse borgere var oprettet på baggrund af data fra CPR. Digitaliseringsstyrelsen har oplyst, at disse kontroller blev gennemført i udviklingsfasen af NgDP.
Digitaliseringsstyrelsen har i udtalelsen anført, at NgDP ikke var udviklet til at håndtere, at der manglede borgere i de overleverede data fra e-Boks A/S. Derfor blev disse borgere registreret som nye borgere, der skulle tilmeldes NgDP i forbindelse med indlæsningen af oplysninger fra CPR. Digitaliseringsstyrelsen havde derfor ikke gennemført yderligere kontroller i forbindelse med indlæsning af data fra CPR i NgDP.
Digitaliseringsstyrelsen har imidlertid oplyst, at der i forbindelse med datamigreringen fra Digital Post til NgDP var gennemført kontroller af, om det overleverede data fra e-Boks A/S indeholdt de relevante stamdata for at kunne indlæse f.eks. fritagelsesstatus. Det fremgår også af udtalelsen, at der blev gennemført både maskinelle og manuelle stikprøver efter at det overlevede data fra e-Boks A/S blev indlæst i NgDP. Disse kontroller gennemførte Digitaliseringsstyrelsen for at sikre, at dokumenter, fuldmagter og tilmeldingsstatus var korrekt indlæst i NgDP.
Digitaliseringsstyrelsen har i deres opfølgende anmeldelse af 17. januar 2023 oplyst, at der i alt var 42.834 borgere, som ved en fejl blev tilmeldt NgDP. Digitaliseringsstyrelsen oplyste, at disse borgere vil blive frameldt NgDP. Det fremgår endvidere af sagen, at Digitaliseringsstyrelsen sendte underretningsbreve til de berørte borgere.
Digitaliseringsstyrelsen har oplyst, at myndigheder, der har sendt meddelelser i NgDP til borgere, er blevet orienteret om fejlen vedrørende de fejlagtige tilmeldinger.
2.5
Egen drift sag vedrørende utilsigtet ændring af tilmeldingsstatus i NgDP som følge af en ny release den 23. august 2023 (2023-432-0024)
Digitaliseringsstyrelsen havde den 29. august 2023 og 31. august 2023 offentliggjort en driftsopdatering på www.digitaliser.dk, hvor det blev meddelt, at der i NgDP var sket utilsigtet ændringer af tilmeldingsstatus for borgere og virksomheder. På baggrund af disse driftsopdateringer sendte Datatilsynet en høring til Digitaliseringsstyrelsen den 5. december 2023. Digitaliseringsstyrelsen sendte i den forbindelse en udtalelse i sagen til Datatilsynet den 8. januar 2023.
Det fremgår af Digitaliseringsstyrelsens udtalelse af 8. januar 2023, at releasen opdaterede den måde, hvorpå brugernes NemSMS blev behandlet. Releasen skulle muliggøre frivillig tilmelding til NgDP for borgere bosiddende i Grønland. Releasen udløste imidlertid to fejl i NgDP i relation til disse ændringer.
Den ene fejl bestod i, at en brugers opdatering eller bekræftelse af kontaktoplysninger i NgDP forårsagede, at brugerens tilmelding i NgDP blev fjernet. Fejlen medførte, at 116.674 borgers og 1.778 virksomheders tilmeldinger i NgDP blev fjernet.
Den anden fejl bestod i, at 20.963 borgere bosiddende i Grønland utilsigtet blev tilmeldt NgDP som følge af releasen. Digitaliseringsstyrelsen har i den forbindelse oplyst, at 393 af disse borgere havde modtaget post fra offentlige afsendere. Digitaliseringsstyrelsen har i forlængelse af dette oplyst, at disse borgere hverken var omfattet af lov om Digital Post eller frivilligt havde tilsluttet sig Digital Post. Digitaliseringsstyrelsen har derfor anført, at meddelelser som blev sendt til disse borgere via NgDP ikke havde retsvirkning for borgerne.
Digitaliseringsstyrelsen har til sagen oplyst, at fejlene er blevet rettet, og at de berørte er blevet underrettet om hændelsen.
Digitaliseringsstyrelsen har oplyst, at styrelsen har vurderet, at det er usandsynligt, at bruddene har haft konsekvenser for fysiske personers rettigheder eller frihedsrettigheder.
De berørte brugere, som ved en fejl fik fjernet deres tilmelding i NgDP, modtog deres meddelelser med fysisk post. For så hvidt angår borgerne der ved en fejl blev tilmeldt NgDP, har Digitaliseringsstyrelsen vurderet, at dette heller ikke har haft konsekvenser for de berørte, idet de afsendende myndigheder blev informeret om fejlen, og fordi at myndighederne havde mulighed for at kontakte borgerne på anden vis.
Det fremgår af Digitaliseringsstyrelsens udtalelse af 8. januar 2023, at styrelsen tester indholdet af hver release. Det fremgår videre af udtalelsen, at en release går igennem både manuelle og automatiserede testcases, før den sættes i drift i produktionsmiljøet.
Digitaliseringsstyrelsen har i udtalelsen anført, at tilmeldingsstatus i NgDP blev migreret fra den forhenværende Digital Post, og disse løbende opdateres ud fra ændringer i CPR samt manuel fritagelse af brugerne. Forud for hændelsen var der ikke etableret foranstaltninger, som skulle sikre, at tilmeldingsstatus ikke blev utilsigtet ændret i forbindelse med en ny release, idet Digitaliseringsstyrelsen ikke tidligere anså det som en mulighed.
Før hændelsen blev der i øvrigt ikke konkret tjekket for, om ændringer i NemSMS-abonnementer kunne havde indflydelse på brugernes tilmelding i NgDP, men Digitaliseringsstyrelsen har oplyst, at dette vil ske fremadrettet.
3. Begrundelse for Datatilsynets afgørelse
Opsummerende angår Datatilsynets afgørelse en række fejl i NgDP, som bestod i:
- Utilsigtet aktivering af læserettigheder til andres postkasser som følge af misforståelser i forbindelse med en datamigrering fra Digital Post til NgDP.
- En kodningsfejl i en funktionalitet i NgDP der førte til manglende og fejlagtig ophævelse af læserettigheder til postkasser.
- En systemfejl i NgDP førte til, at brugere med læserettigheder til et stort antal af postkasser mistede adgangen til disse.
- Utilsigtet tilmelding af borgere til NgDP som følge af en fejl i forbindelse med datamigrering fra Digital Post til NgDP og en efterfølgende indlæsning af data fra CPR.
Herudover angår afgørelsen en systemopdatering i NgDP den 23. august 2023, som medførte, at en række borgere og virksomheder fejlagtigt blev afmeldt eller tilmeldt NgDP.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Det påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det følger endvidere af artikel 32, stk. 1, litra b og d, at den dataansvarlige i den forbindelse bl.a. skal gennemføre relevante foranstaltninger med henblik på at opretholde evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og - tjenester, samt implementere procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Nedenfor følger Datatilsynets vurdering af de konkrete sager.
3.1.1.
Utilsigtet aktivering af læserettigheder til andres postkasser i NgDP som følge af misforståelser i forbindelse med en datamigrering fra Digital Post til NgDP (2023-442-0139)
Det er Datatilsynets opfattelse, at kravet, jf. artikel 32, stk. 1, om passende sikkerhed normalt vil indebære, at der forud for en datamigrering mellem større systemer udvises stor omhyggelighed ved bl.a. kortlægningen af forskellige rettighedstyper, da det i modsat fald kan føre til fejl, som kan have konsekvenser for de registrerede, f.eks. i tilfælde af, at deres oplysninger kan tilgås af uvedkommende. Det er endvidere Datatilsynets opfattelse, at med de risici, der er forbundet med datamigrering, skal der foreligge den fornødne klarhed og forståelse for, hvad migreret data omfatter, idet det ellers ikke vil være muligt at identificere alle sandsynlige fejlscenarier og gennemføre kvalificererede test med henblik på at sikre, at datamigrering ikke fører til utilsigtede ændringer i det pågældende system.
Grundlaget for designet af en datamigrering, herunder hvad det migrerede data omfatter, bør være i en opgave- og løsningsbeskrivelse el.lign. På den måde er det lettere for de involverede parter at identificere eventuelle uklarheder eller misforståelser, og sikre, at disse afklares inden datamigreringen gennemføres.
Det er Datatilsynets vurdering, at aktivering af læserettigheder til andres postkasser i NgDP, hvor læserettigheden var udløbet, indebærer en risiko for misbrug, idet postmeddelelser – herunder post som er modtaget efter udløbet af læserettigheden – derved kan tilgås af uvedkommende. Datatilsynet bemærker, at borgere, som tildeler læserettigheder til deres postkasse, kan være særligt sårbare borgere – fx borgere under værgemål, børn, patienter eller ældre – hvilket indebærer, at risikoen for de registrerede ved eventuelle fejl kan være større. De registrerede kan bl.a. have svært ved at overskue og beskytte sig mod en eventuel skadevirkning, der kan være forbundet med, at uvedkommende har tilgået deres postkasse og har læst nye meddelelser, som den registrerede modtog efter udløbet af læserettigheden.
Datatilsynet finder på den baggrund, at Digitaliseringsstyrelsen – ved ikke at have sikret, at der i forbindelse med datamigreringen fra Digital Post til NgDP var udvist den fornødne omhyggelighed ved kortlægningen af læserettighederne i det afgivende og modtagende postløsningssystem, og ved ikke at have sikret en korrekt forståelse af, hvad en bestemt opmærkning hos den afgivende leverandør betød, herunder hvad det afgivende data omfattede – ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynets har lagt vægt på, at Digitaliseringsstyrelsen ikke havde et tilstrækkeligt kendskab til, hvad det modtagne data omfattede ved datamigreringen fra Digital Post til NgDP. Datatilsynet har videre lagt vægt på, at Digitaliseringsstyrelsen burde have undersøgt, hvad mærkningen hos den afgivende leverandør betød fremfor alene at forlade sig på en antagelse af, hvad opmærkningen i det afgivende system betød, og at styrelsen ikke i tilstrækkelig grad havde taget højde for risikoen ved, at der opstod misforståelser i kommunikationen mellem leverandørerne i forbindelse med datamigreringen fra Digital Post til NgDP.
3.1.2.
En kodningsfejl i en funktionalitet i NgDP førte til manglende og fejlagtig ophævelse af læserettigheder til postkasser (2023-442-0211)
Det er Datatilsynets opfattelse, at kravet, jf. artikel 32, stk.1, om passende sikkerhed normalt vil indebære, at der inden idriftsættelse af et nyt system eller et system, hvori der er foretaget systemændringer, skal testes for fejl eller sårbarheder i systemet. Sådanne tests skal bl.a. dække almindelige brugerscenarier i det pågældende system. På den måde sikres det, at alle funktionaliteter og brugerscenarier i det pågældende system ikke er behæftet med fejl eller sårbarheder, som f.eks. kan føre til brud på persondatasikkerheden. Man skal i den forbindelse afdække alle brugsscenarier, rettigheder og funktioner i systemet med henblik på at kunne definere alle relevante test af systemet.
Det er Datatilsynets vurdering, at Digitaliseringsstyrelsen – ved ikke at have gennemført tilstrækkelig test af funktionen ”Administrativ Adgang” og derigennem havde identificeret kodningsfejlen før idriftsættelse af NgDP – ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at der kun blev gennemført regressionstest, som omfattede den normale funktionalitet med tildeling og ophævelse af læseadgange, og at der i disse test ikke var taget højde for den særlige konstellation, hvor brugeren med læserettigheden havde flere aktive læserettigheder. Digitaliseringsstyrelsen burde have været bekendt med, at der var brugere med aktive læserettigheder til flere postkasser, og at en ophævelse af læserettigheder for brugere med flere aktive læserettigheder udgjorde et almindeligt brugerscenarie i NgDP, som styrelsen burde have testet inden NgDP blev idriftsat.
Datatilsynet har endvidere lagt vægt på, at fejlen havde været tilstede over en længere periode siden NgDP blev idriftsat den 21. marts 2022, og at styrelsen først konstaterede fejlen den 24. februar 2023.
Datatilsynet har endelig lagt vægt på, at Digitaliseringsstyrelsen har oplyst, at fejlen ville være blevet identificeret tidligere, hvis den grundige regressionstest, som opdagede kodningsfejlen, var blevet udført tidligere.
3.1.3.
En systemfejl i NgDP førte til, at brugere med læserettigheder til et stort antal af postkasser mistede adgangen til disse (2023-442-0147)
Det er Datatilsynets opfattelse, at kravet, jf. artikel 32, stk. 1, om passende sikkerhed normalt indebærer, at test af systemer bl.a. skal tage udgangspunkt i brugsscenarier og funktioner, før systemet idriftsættes. Dette gælder også brugsscenarier, som kun er relevant for en mindre del af brugerne i et system, eller funktioner i et system, som ikke anvendes ofte. Det er derfor nødvendigt at kortlægge alle almindelige brugsscenarier, rettigheder, funktioner mv. for at kunne foretage relevante test, der kan identificere, om der er fejl i systemet for så vidt angår alle brugsscenarier, rettigheder, funktioner mv. Kravet om passende sikkerhed vil også indebære, at man foretager en belastningstest for så vidt angår brugere med mange rettigheder i et system. På den måde sikres det, at der ikke opstår en overbelastning i systemet, som kan gøre systemet utilgængeligt.
Det er i det konkrete tilfælde Datatilsynets vurdering, at en brugers manglende adgang til deres egen postkasse eller til en postkasse, som en bruger har læserettigheder til, kan have indgribende betydning for de registrerede og kan indebære en betydelig risiko for registreredes økonomiske eller sociale rettigheder
Offentlige myndigheder kan med frigørende virkning sende post til en borgers digitale postkasse, som borgeren har pligt til at læse. Post fra offentlige afsendere indeholder typisk meddelelser vedrørende væsentlige aftaler eller svarfrister, og borgeren vil kunne bebrejdes, såfremt disse ikke overholdes. Det er derfor Datatilsynets vurdering, at borgeres – herunder eventuelle repræsentanters – manglende adgang udgør en betydelig risiko for et væsentlig rettighedstab hos de berørte borgere.
Datatilsynet finder herefter, at Digitaliseringsstyrelsen – ved ikke at have testet NgDP tilstrækkeligt og derigennem opdaget en systemfejl, som resulterede i, at brugere med læserettigheder til flere postkasser mistede tilgængeligheden til postkasser, som de havde læserettigheder til – ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk.1.
Datatilsynet har ved sin vurdering lagt vægt på, at Digitaliseringsstyrelsen ikke var klar over, at nogle brugere havde et stort antal af læserettigheder til andres postkasser, og derfor ikke var dækket i kvalitetssikringen af NgDP, hvilket medførte, at styrelsen ikke foretog tilstrækkelig test af NgDP med udgangspunkt i det anvendelsesscenarie, hvor brugere har læserettigheder til flere postkasser. Digitaliseringsstyrelsen har oplyst, at det ikke var kendt for styrelsen, at der var brugere med så mange læserettigheder. Det er i den forbindelse Datatilsynets vurdering, at Digitaliseringsstyrelsen inden idriftsættelsen af NgDP burde have afdækket, om det var brugere med et stort antal rettigheder på tværs af postkasser, særligt når det i løsningen bl.a. var muligt at have læserettigheder til flere postkasser.
Datatilsynet bemærker, at det er et normalt anvendelsesscenarie, at en bruger, eksempelvis en værge, advokat eller medarbejdere i en virksomhed, kan have læserettigheder til et stort antal af postkasser – hvilket også var muligt i det forhenværende Digital Post og NgDP – og det derfor var et scenarie, som Digitaliseringsstyrelsen burde have kendt til og testet for.
Datatilsynet har også lagt vægt på, at Digitaliseringsstyrelsen ikke har lavet en tilstrækkelig belastningstest, inden NgDP blev idriftsat, idet Digitaliseringsstyrelsen burde havde foretaget en belastningstest med fokus på, om NgDP agerede uventet grundet en for høj belastning i systemet, der påvirkede tilgængeligheden af postkasser i NgDP for brugere med mange rettigheder på tværs af postkasser.
Styrelsen burde endvidere have oplyst leverandørerne af visningsklientprojekterne (Rettighedsportal, e-Boks, mit.dk, Virk og borger.dk) om muligheden for, at brugere kunne have læserettigheder til flere postkasser, så disse leverandører ligeledes havde mulighed for at teste for dette brugerscenarie.
Endelig har Datatilsynet lagt vægt på, at fejlen havde været tilstede over en længere periode, siden NgDP blev idriftsat den 21. marts 2022, og at styrelsen først endeligt rettede fejlen den 3. maj 2022.
3.1.4.
Utilsigtet tilmelding af borgere i NgDP som følge af en datamigrering fra Digital Post til NgDP samt en efterfølgende indlæsning af data fra CPR (2023-442-0197)
Det er Datatilsynets opfattelse, at kravet, jf. artikel 32, stk.1, om passende sikkerhed normalt vil indebære, at man før en datamigrering sikrer, at der foreligger den fornødne klarhed over, hvad det afgivne data omfatter. Kravet om passende sikkerhed i forbindelse med en datamigrering vil indebære, at det kontrolleres, om en afgivende leverandør har overført tilstrækkeligt data til en modtagende leverandør inden datamigreringen gennemføres. Det følger ligeledes af kravet om passende sikkerhed, at et system testes for alle sandsynlige fejlscenarier og sårbarheder inden idriftsættelse.
Det er i det konkrete tilfælde Datatilsynets vurdering, at de fejlagtige tilmeldinger af borgere i Digital Post indebærer en høj risiko for de berørte borgers sociale og økonomiske rettigheder. Fejlagtig tilmelding af Digital Post kan være medvirkende til, at en borger overser vigtig post fra myndigheder, idet borgerne forventer at modtage post fysisk, men grundet en utilsigtet ændring af deres tilmeldingsstatus i NgDP i stedet udelukkende modtager post fra myndigheder digitalt.
Datatilsynet skal bemærke, at uanset om Digitaliseringsstyrelsen har oplyst, at de afsendende myndigheder blev orienteret om fejlen, kan det ikke udelukkes, at sådan en fejl kan have haft konsekvenser for de berørte, idet fejlen bl.a. ville kunne føre til udskydelse af eventuelle aftaler eller møde med myndigheder. Herudover kan der være situationer, hvor enhver forsinkelse af postmeddelelser fra myndigheder kan have vidtgående konsekvenser for en borger. Dette kan eksempelvis være tilfældet med post fra sundhedsmyndigheder vedrørende indkaldelser til kontrol eller operationer.
Det er på den baggrund Datatilsynets vurdering, at Digitaliseringsstyrelsen – ved i forbindelse med datamigreringen fra Digital Post til NgDP ikke at have kontrolleret, om det afgivende data fra Digital Post omfattede alle borgere med relevant status (tilmeldt/fritaget), og ved inden indlæsning af data fra CPR ikke at have testet, om NgDP var korrekt opsat til at håndtere nye borgere fra CPR – ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har lagt vægt på, at styrelsen ikke var opmærksom på, at de overleverede tilmeldingslister fra e-Boks A/S (den afgivende leverandør) ikke indeholdte oplysninger om alle borgere med relevant tilmeldingsstatus. Datatilsynet har ligeledes lagt vægt på, at logikken i NgDP, som håndterede de borgere, der blev indlæst fra CPR, ikke var korrekt opsat til at håndtere de borgere, der blev indlæst fra CPR, idet logikken forudsatte, at borgere allerede var kendt i det forhenværende Digital Post og enten havde status ”tilmeldt” eller ”fritaget”.
Datatilsynet har også lagt vægt på, at der ikke blev foretaget en yderligere kontrol i forbindelse med den efterfølgende indlæsning af data fra CPR i NgDP, og at der ikke blev udført en kontrolsammenligning af data fra e-Boks A/S og CPR, og at fejlen havde været tilstede over en længere periode, siden NgDP blev idriftsat den 21. marts 2022, og styrelsen først konstaterede fejlen den 4. november 2022.
3.1.5.
Egen drift sag vedrørende utilsigtet ændring af tilmeldingsstatus i NgDP som følge af en ny release den 23. august 2023 (2023-432-0024)
Det er Datatilsynets opfattelse, at kravet, jf. artikel 32, stk.1, om passende sikkerhed normalt vil indebære, at man før idriftsættelse af ændringer i et system afdækker alle sandsynlige fejlscenarier og tester det ændrede system for uhensigtsmæssigheder, som ændringen måtte have medført. For at kunne fastlægge hvilke dele af systemet, der skal testes, skal de behandlingsaktiviteter, der bliver påvirket af systemændringerne, afdækkes. Det skal også afdækkes, om de pågældende systemændringer vil kunne påvirke dele af miljøet eller tilknyttede processer og funktioner i systemet, som ikke er direkte genstand for selve systemændringen.
Datatilsynet finder på baggrund af ovenstående, at Digitaliseringsstyrelsen – ved ikke tilstrækkeligt at have testet NgDP før den nye release blev idriftsat – ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har lagt vægt på, at Digitaliseringsstyrelsen i forbindelse med releasen ikke tilstrækkeligt havde testet for, om ændringerne på NemSMS-abonnementer kunne medføre, at brugere ved en fejl blev registeret i NgDP med en status som ”tilmeldt”, hvilket kunne føre til, at de berørte i den mellemliggende periode – fra tidspunktet, hvor fejlen opstod, til fejlen blev konstateret og oplyst til myndighederne – kan have modtaget post fra myndigheder, uden at de var bekendt med det, og uden, at de afsendende myndigheder var bekendt med, at deres breve var sendt via en forkert kommunikationskanal. I den periode kunne de afsendende myndigheder med rette forvente, at postmeddelelser, der blev sendt via NgDP, blev sendt med retsvirkende kraft. Dertil skal det bemærkes, at de afsendende myndigheders eventuelle genfremsendelse af meddelelser, forlængelse af tidsfrister eller tildeling af nye aftaletidspunkter som følge af hændelsen alligevel vil kunne føre til forsinkelser, som kan have betydning for borgernes sociale, økonomiske eller helbredsmæssige rettigheder.
Datatilsynet har også lagt vægt på, at der forud for hændelsen ikke var etableret foranstaltninger, som skulle sikre, at tilmeldingsstatus ikke blev utilsigtet ændret i forbindelse med en ny release.
Uanset om Digitaliseringsstyrelsen har gjort gældende, at bruddet ikke har haft en høj risiko for de berørte, kan det ikke føre til et andet resultat, idet de fejlagtige tilmeldinger indebar en risiko for de berørte, uanset om de afsendende myndigheder blev gjort opmærksom på fejlen, og postmeddelelserne ikke havde retslig virkning over for modtagerne.
3.1.6. Sammenfatning
NgDP udgør på nationalt niveau den primære kommunikationsform mellem myndigheder, borgere og virksomheder, hvor der behandles et stort antal af personoplysninger, og hvor afsendelse og modtagelse af meddelelser kan have (alvorlig) retsvirkning. Utilstrækkelige sikkerhedsforanstaltninger i større offentlige systemer som NgDP kan dermed have betydelige konsekvenser for et stort antal registrerede, og eventuelle fejl, som utilstrækkelige sikkerhedsforanstaltninger medfører, kan have alvorlig indvirkning på den enkelte registreredes rettigheder.
Ud over Datatilsynets samlede vurderinger, der fremgår ovenfor under hver enkelt sag, er det generelt Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at der stilles højere krav til dataansvarlige, der udbyder offentlige systemer og løsninger – som f.eks. NgDP – til et stort antal brugere, særligt når disse brugere i mange tilfælde ikke har mulighed for at vælge løsningen fra.
Datatilsynet finder derfor, at der samlet set er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsen ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).