Ny Mit.dk-skandale

Netcompany har ifølge Datatilsynet overtrådt databeskyttelsesforordningen, da mit.dk blev udviklet

Offentliggjort Sidst opdateret

KORT RESUMÈ AF ARTIKLEN

Datatilsynet har politianmeldt Netcompany for overtrædelse af databeskyttelsesforordningen i forbindelse med udviklingen af den digitale postkasse mit.dk. Netcompany anklages for ikke at have indbygget passende sikkerhedsforanstaltninger.

En fejl i koden gjorde, at brugere kunne få adgang til andres digitale post, da postkassen blev lanceret. Datatilsynet indstiller til en bøde på mindst 15 millioner kroner, hvilket er den største bøde tilsynet nogensinde har indstillet til.

Fejlen blev identificeret i marts 2022, hvorefter Netcompany lukkede systemet ned. Fejlen berørte potentielt 10-50 borgeres digitale postkasser på Mit.dk i cirka en time.

Netcompany blev opmærksom på fejlen kort efter lanceringen, da flere brugere henvendte sig og sagde, at de kunne få adgang til andres oplysninger. Løsningen blev lukket ned, indtil fejlen blev udbedret og sikkerhedsbruddet blev meldt til Datatilsynet.

Denne faktaboks blev genereret af Labrador AI og korrekturlæst af en journalist.

Datatilsynet har politianmeldt Netcompany for at have overtrådt databeskyttelsesforordningen i forbindelse med udviklingen af den digitale postkasse mit.dk.

Ifølge tilsynet har Netcompany ikke sikret, at der blev indbygget passende sikkerhedsforanstaltninger i forbindelse med udviklingen af postkassen.

Kunne få adgang til andres post

Tilsynet indstiller til en bøde på mindst 15 millioner kroner, skriver det i en afgørelse.

I afgørelsen skriver Datatilsynet, at en uhensigtsmæssig kode gjorde, at brugere kunne få adgang til andres digitale post, da postkassen blev lanceret.

Ifølge Vibeke Dyssemark Thomsen, som er chefkonsulent i Datatilsynet er det afgørende, at borgerne kan have tillid til den nationale kritiske infrastruktur.

Slår hårdt ned

- En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned, siger hun i afgørelsen.

Mit.dk ejes og drives af Netcompany.

Netcompanys topchef André Rogaczewski udtaler i et skriftligt citat, at Netcompany har lagt alt frem for Datatilsynet:

- I det øjeblik den menneskelige fejl blev identificeret tilbage i marts 2022, lukkede Netcompany systemet ned øjeblikkeligt. Derved endte fejlen med potentielt at berøre 10-50 borgeres digitale postkasser på Mit.dk i cirka en time. Det ændrer ikke på, at fejl med én postkasse er én for meget.

Største nogensinde

Bøden, som Netcompany står til, er den største som Datatilsynet nogensinde har indstillet til. Det skyldes blandt andet virksomhedens størrelse, skriver tilsynet.

Borgere og virksomheder kan vælge at bruge mit.dk til at modtage digital post fra blandt andet offentlige myndigheder.

I forbindelse med, at løsningen blev sat i drift i marts 2022, opstod der ifølge Datatilsynet en fejl, når flere brugere brugte løsningen samtidig. Den gav borgerne adgang til andres postkasser.

Blev lukket ned

Netcompany blev gjort opmærksom på fejlen kort efter lanceringen, da flere brugere henvendte sig og sagde, at de kunne få adgang til andres oplysninger.

Løsningen blev derfor lukket ned, indtil man havde udbedret fejlen og sikkerhedsbruddet blev meldt til Datatilsynet.

Datatilsynet skriver, at selv om fejlen skyldes uhensigtsmæssig kodning, blev den ikke opdaget af Netcompany, da der blev gennemført test før lanceringen.

En af de mest kritiske

Tilsynet vurderer, at det var en af de mest kritiske og åbenbare risici, at brugere kunne få adgang til digital post, som de ikke skulle se.

André Rogaczewski ser frem til, at sagen afgøres af de relevante myndigheder.

Han understreger også, at Netcompany har indført en række tiltag, som skal sikre, at den type fejl ikke kan ske igen.

Powered by Labrador CMS