Datatilsynet indstiller IT-virksomhed til rekordstor bøde for brud på GDPR

Mit.dk er udviklet, ejet og drevet af Netcompany og er en digital postkasse, som borgere, myndigheder og virksomheder kan anvende til at kommunikere sikkert med hinanden.

Det er imidlertid Datatilsynets opfattelse, at Netcompany ikke sikrede et passende sikkerhedsniveau i forbindelse med udviklingen, ligesom virksomheden heller ikke udarbejdede en konsekvensanalyse.

Kunne tilgå andres post

Da mit.dk blev lanceret i marts 2022 gik der ikke længe, før det blev opdaget, at brugere kunne tilgå andre brugeres postkasser. Fejlen skyldtes en uhensigtsmæssig kodning af systemet, som ikke var blevet opdaget forud for lanceringen.

Det er en alvorlig overtrædelse af GDPR, mener Datatilsynet, for når en virksomhed udvikler et it-system, så skal virksomheden sikre, at systemet kan håndtere personoplysninger i systemet på en tilstrækkelig sikker måde.

Kravene til sikkerhed skal afspejle typerne af personoplysninger, mængden af personoplysninger samt antallet af personer, der indgår i systemet. I mit.dk indgår der en stor mængde meget følsomme personoplysninger om mange borgere.

Krav om konsekvensanalyse

Det er Datatilsynets opfattelse, at netop typerne af personoplysninger og antallet af brugere betyder, at der er en høj risiko i forbindelse med både administrationen og anvendelsen af systemet.

En sådan høj risiko udløser et krav om en konsekvensanalyse efter GDPR artikel 35, men denne havde Netcompany ikke udarbejdet. Dermed var der ikke tilstrækkelig fokus på de risici, der var forbundet med brugen af it-systemet, mener Datatilsynet.

Netcompany havde gennemført en række tests af systemet, men havde ikke fået øje på det, som Datatilsynet kalder ”en af de mest kritiske og åbenbare risici ved løsningen”, nemlig at andre brugere kunne få adgang til den digitale post.

Hvad kan du lære af sagen?

Når du som dataansvarlig selv udvikler, eller får udviklet et it-system hos en tredjepart, er det vigtigt, at du får tænkt GDPR ind i udviklingen helt fra start.

GDPR stiller en række krav, herunder kravet om konsekvensanalyse, men også kravet om privacy by design og default. Det vil sige, at it-løsningen er designet på en måde, der sikrer et tilstrækkeligt sikkerhedsniveau set i forhold til de data, systemet indeholder og de risici, der er ved brugen af løsningen. Ved at undlade at identificere og analysere alle relevante risici, er der stor sandsynlighed for, at it-systemet ikke er tilstrækkeligt sikkert at anvende og dermed ikke overholder GDPR.

Får du hjælp til at udvikle en it-løsning hos en tredjepart, er det desuden vigtigt, at du sikrer dig, at kontrakten indeholder en klar beskrivelse af, hvordan løsningen skal overholde GDPR, herunder identifikation af relevante risici og udarbejdelse af konsekvensanalyse.

Har du spørgsmål eller brug for rådgivning?

Hos HjulmandKaptain kan vi hjælpe dig både med spørgsmål om GDPR og udarbejdelse af it-kontrakten, så du får sikkerhed for, at din it-løsning lever op til alle krav.

Du er altid velkommen til at kontakte os for sparring og rådgivning.