Datatilsynet har sendt en høring til Netcompany efter mediernes omtale af et muligt læk af kildekode og relaterede oplysninger. Tilsynet har endnu ikke modtaget brudsanmeldelser fra hverken leverandøren eller de berørte myndigheder og søger afklaring af, om hændelsen er omfattet af databeskyttelsesreglerne.
Henvendelsen er baseret på databeskyttelsesloven § 29. Datatilsynet fremhæver, at en databehandler skal underrette de dataansvarlige, når en sikkerhedshændelse involverer personoplysninger eller infrastruktur, der kan give adgang til dem, jf. GDPR art 28 stk 3 litra f og art 33 stk 2. Netcompany er bedt om at svare inden 6. marts 2024.
For at afklare risikoen for de registrerede beder tilsynet om svar på følgende punkter:
- Om der indgår personoplysninger i materialet, herunder testdata og logdata.
- Hvilke systemer og kunder de lækkede oplysninger vedrører.
- Om databehandleren har underrettet de berørte dataansvarlige.
- Om materialet kan bruges til at opnå adgang til personoplysninger.
Sagen understreger behovet for effektiv leverandørstyring, opdaterede systemoversigter og hurtig kommunikation mellem databehandlere og dataansvarlige ved potentielle sikkerhedshændelser.
