Datatilsynet indstiller til bøde på 15 millioner til Netcompany

Datatilsynet har politianmeldt Netcompany for at have overtrådt databeskyttelsesforordningen i forbindelse med udviklingen af den digitale postkasse mit.dk.

Ifølge tilsynet har Netcompany ikke sikret, at der blev indbygget passende sikkerhedsforanstaltninger i forbindelse med udviklingen af postkassen.

Tilsynet indstiller til en bøde på mindst 15 millioner kroner, skriver det i en afgørelse.

I afgørelsen skriver Datatilsynet, at en uhensigtsmæssig kode gjorde, at brugere kunne få adgang til andres digitale post, da postkassen blev lanceret.

Ifølge Vibeke Dyssemark Thomsen, som er chefkonsulent i Datatilsynet er det afgørende, at borgerne kan have tillid til den nationale kritiske infrastruktur.

- En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned, siger hun i afgørelsen.

Mit.dk ejes og drives af Netcompany.

Netcompanys topchef André Rogaczewski udtaler i et skriftligt citat, at Netcompany har lagt alt frem for Datatilsynet:

- I det øjeblik den menneskelige fejl blev identificeret tilbage i marts 2022, lukkede Netcompany systemet ned øjeblikkeligt. Derved endte fejlen med potentielt at berøre 10-50 borgeres digitale postkasser på Mit.dk i cirka en time. Det ændrer ikke på, at fejl med én postkasse er én for meget.

Bøden, som Netcompany står til, er den største som Datatilsynet nogensinde har indstillet til. Det skyldes blandt andet virksomhedens størrelse, skriver tilsynet.

Borgere og virksomheder kan vælge at bruge mit.dk til at modtage digital post fra blandt andet offentlige myndigheder.

I forbindelse med, at løsningen blev sat i drift i marts 2022, opstod der ifølge Datatilsynet en fejl, når flere brugere brugte løsningen samtidig. Den gav borgerne adgang til andres postkasser.

Netcompany blev gjort opmærksom på fejlen kort efter lanceringen, da flere brugere henvendte sig og sagde, at de kunne få adgang til andres oplysninger.

Løsningen blev derfor lukket ned, indtil man havde udbedret fejlen og sikkerhedsbruddet blev meldt til Datatilsynet.

Datatilsynet skriver, at selv om fejlen skyldes uhensigtsmæssig kodning, blev den ikke opdaget af Netcompany, da der blev gennemført test før lanceringen.

Tilsynet vurderer, at det var en af de mest kritiske og åbenbare risici, at brugere kunne få adgang til digital post, som de ikke skulle se.

André Rogaczewski ser frem til, at sagen afgøres af de relevante myndigheder.

Han understreger også, at Netcompany har indført en række tiltag, som skal sikre, at den type fejl ikke kan ske igen.

/ritzau/