Datatilsynet retter en usædvanligt skarp kritik mod Digitaliseringsstyrelsen: NgDP blev sat i drift og senere opdateret uden passende tekniske og organisatoriske foranstaltninger, selv om løsningen er den primære myndighedskanal med retsvirkninger.
Fejl ved overgangen til Næste generations Digital Post udløste flere sikkerhedsbrud: utilsigtet aktivering og mangelfuld ophævelse af læserettigheder, tab af adgang til mange postkasser, samt fejlagtig tilmelding af borgere efter datamigrering og indlæsning fra CPR. En release i august 2023 ændrede desuden tilmeldingsstatus for borgere og virksomheder.
Hvad betyder dette i praksis?
Den nye praksis betyder, at dataansvarlige for offentlige it-løsninger må hæve barren: robust adgangsstyring, konsekvent ophævelse af rettigheder, grundig test før idriftsættelse og kontrolleret release management. Overvej risikobaseret design, tidlig datamigreringstest og klare rollback-planer – kan jeres brugere risikere uretmæssig adgang eller afskæring?
Tilsynet understreger, at kravet om passende sikkerhed skærpes, når mange borgere er afhængige af løsningen og ikke kan fravælge den. Fejl i Digital Post kan derfor ramme et meget stort antal registrerede og få alvorlig indvirkning på individuelle rettigheder.
Læs afgørelsen og brug vejledningerne som tjekliste for design og standardindstillinger: Læs afgørelsen her, Læs også Datatilsynets vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her og Se også Datatilsynets foranstaltningskatalog her.
