Ny afgørelse

Digitaliseringsstyrelsen får alvorlig kritik for mangelfulde sikkerhedsforanstaltninger

Dato: 08-07-2025
Nyhed

Datatilsynet udtaler alvorlig kritik af Digitaliseringsstyrelsens utilstrækkelige sikkerhedsforanstaltninger ved overgangen til Næste generations Digital Post i 2022 og en systemopdatering i 2023.

Digitaliseringsstyrelsen anmeldte den 24. marts 2022, 8. april 2022, 10. november og 27. februar 2023 i alt fire brud på persondatasikkerheden til Datatilsynet. Sikkerhedsbruddene opstod som følge af en række fejl i forbindelse med overgangen til Næste generations Digital Post (NgDP), som blev idriftsat den 21. marts 2022.  

De anmeldte sikkerhedsbrud bestod i:

  1. Utilsigtet aktivering af læserettigheder til andres postkasser pga. misforståelser i forbindelse med en datamigrering fra det forhenværende Digital Post til NgDP.
  2. Manglende og fejlagtig ophævelse af læserettigheder til postkasser forårsaget af en kodningsfejl i den funktionalitet, der muliggjorde ophævelse af læserettigheder.
  3. Brugere med læserettigheder til et stort antal postkasser mistede læserettighederne til disse postkasser pga. en systemfejl i NgDP.
  4. Utilsigtet tilmelding af borgere til NgDP, der skyldtes fejl ved datamigreringen fra Digital Post til NgDP og en efterfølgende indlæsning af data fra Det Centrale Personregister (CPR).

Herudover offentliggjorde Digitaliseringsstyrelsen driftsopdateringer på digitalisér.dk den 29. august 2023 og den 31. august 2023, hvoraf det fremgik, at en ny release i Digital Post-løsningen den 23. august 2023 havde resulteret i utilsigtede ændringer af tilmeldingsstatus for en række borgere og virksomheder, hvilket medførte, at Datatilsynet valgte at indlede en sag af egen drift over for Digitaliseringsstyrelsen.

Datatilsynet udtaler alvorlig kritik

Datatilsynet har truffet en samlet afgørelse i de fem sager. Tilsynet har i afgørelsen fundet anledning til at udtale alvorlig kritik af, at Digitaliseringsstyrelsen ikke havde truffet passende tekniske og organisatoriske foranstaltninger forud for idriftsættelsen af NgDP og systemopdateringen den 23. august 2023. Datatilsynet har i den forbindelse bl.a. lagt vægt på, at NgDP på nationalt niveau udgør den primære kommunikationskanal mellem myndigheder, borgere og virksomheder, hvori der behandles et stort antal personoplysninger, og hvor afsendelse og modtagelse af meddelelser kan have retsvirkning. Derfor kan utilstrækkelige sikkerhedsforanstaltninger have betydelige konsekvenser for et stort antal registrerede, og eventuelle fejl kan få alvorlig indvirkning på den enkelte registreredes rettigheder.

Det er i den forbindelse generelt Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at der stilles højere krav til dataansvarlige, der udbyder offentlige systemer og løsninger til et stort antal brugere - særligt når disse brugere i mange tilfælde ikke har mulighed for at fravælge løsningen.

Vil du vide mere?

Læs afgørelsen her.

Læs også Datatilsynets vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her.

Se også Datatilsynets foranstaltningskatalog her.