Datatilsynet har politianmeldt Netcompany for at have overtrådt databeskyttelsesforordningen i forbindelse med udviklingen af den digitale postkasse mit.dk.
Ifølge tilsynet har Netcompany ikke sikret, at der blev indbygget passende sikkerhedsforanstaltninger i forbindelse med udviklingen af postkassen.
Tilsynet indstiller til en bøde på mindst 15 mio. kr., skriver det i en afgørelse. I afgørelsen skriver Datatilsynet, at en uhensigtsmæssig kode gjorde, at brugere kunne få adgang til andres digitale post, da postkassen blev lanceret. Datatilsynet hæfter sig blandt andet ved, at der ikke blev gennemført en konsekvensanalyse.
Fejl gav uberettiget adgang
Mit.dk ejes og drives af Netcompany. Borgere og virksomheder kan vælge at bruge mit.dk til at modtage digital post fra blandt andet offentlige myndigheder. I forbindelse med, at løsningen blev sat i drift i marts 2022, opstod der ifølge Datatilsynet en fejl, når flere brugere brugte løsningen samtidig.
Fejlen gjorde, at man uberettiget kunne få adgang til andre brugeres digitale post. Dermed kunne man også få adgang til personoplysninger.
Netcompany blev gjort opmærksom på fejlen kort efter lanceringen, da flere brugere henvendte sig og sagde, at de kunne få adgang til andres oplysninger. Løsningen blev derfor lukket ned, indtil man havde udbedret fejlen og sikkerhedsbruddet blev meldt til Datatilsynet.
Datatilsynet skriver, at selv om fejlen skyldes uhensigtsmæssig kodning, blev den ikke opdaget af Netcompany, da der blev gennemført test før lanceringen. Tilsynet vurderer, at det var en af de mest kritiske og åbenbare risici, at brugere kunne få adgang til digital post, som de ikke skulle se.
/ritzau/
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Nyts artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Nyts artikler med personer, der ikke selv har et personligt abonnement på DK Nyt
Afvigelse fra ovenstående kræver skriftligt tilsagn fra DK Medier.
