De seneste dage har der været medieomtale af en sag, hvor der bl.a. skal være sket læk af kildekode fra Netcompany A/S, og som også involverer en række myndigheder, hvor Netcompany er leverandør.
Datatilsynet har ikke modtaget underretninger om brud på persondatasikkerheden fra hverken Netcompany eller fra nogle af de umiddelbart berørte myndigheder - men for at få afklaret, om forholdet kan være omfattet af GDPR og andre relevante databeskyttelsesregler, har Datatilsynet i dag sendt en høring til Netcompany med en række spørgsmål.
Datatilsynet ønsker blandt andet svar på, om Netcompany har kendskab til personoplysninger i det kompromitterede materiale, hvilke systemer der er omfattet, om Netcompany som databehandler har underrettet de berørte dataansvarlige om eventuelle risici for de registrerede (eksempelvis borgere), og om de lækkede oplysninger kan bruges til at få adgang til personoplysninger.
Brevet til Netcompany
Her kan du læse det brev, der er sendt til Netcompany:
Anmodning om oplysninger
Der har de seneste dage været en del medieomtale af et muligt læk af oplysninger relateret til Netcompany A/S.
Efter det oplyste i pressen vedrører det primært Netcompany A/S’ opgaver med løsninger hos kunder.
I medfør af databeskyttelseslovens § 29 finder Datatilsynet det nødvendigt at få besvaret følgende spørgsmål.
- Har Netcompany A/S viden om, hvorvidt der indgår personoplysninger i det lækkede materiale? Det ønskes også oplyst, om der kan være personoplysninger i form af eksempelvis testdata, logdata eller andet.
- Hvilke systemer og hvilke kunder vedrører de oplysninger, der er omfattet af det lækkede materiale? Her ønskes en samlet oversigt over oplysninger om, hvilke dataansvarlige og systemer der er tale om.
- Har Netcompany A/S, i egenskab af databehandler, underrettet de berørte dataansvarlige om risici for de registrerede i forbindelse med dette læk?
- Har Netcompany A/S kendskab til, at de lækkede oplysninger kan bruges til at få adgang til personoplysninger, direkte eller indirekte?
Datatilsynet skal i øvrigt henlede opmærksomheden på, at en databehandler almindeligvis – i det omfang en sikkerhedshændelse enten direkte involverer personoplysninger eller omfatter oplysninger om infrastruktur, der giver adgang til personoplysninger – vil være forpligtet til at underrette de berørte dataansvarlige med henblik på at bistå berørte dataansvarlige med at overholde eventuel anmeldelsespligt til Datatilsynet, jf. hermed bl.a. databeskyttelsesforordningen artikel 28, stk. 3, litra f, og artikel 33, stk. 2.
Datatilsynet skal anmode om at modtage svar senest den 6. marts 2024.