GDPR: Virksomhed indstillet til bøde på kr. 15 mio.

GDPR: Virksomhed indstillet til bøde på kr. 15 mio.

Compliance IT-ret Persondata og cybersikkerhed
Datatilsynet indstiller Netcompany til en rekordbøde på 15 mio. kr. efter alvorlige sikkerhedsfejl i mit.dk gav uautoriseret adgang til digital post. Myndigheden kritiserer utilstrækkelig behandlingssikkerhed og manglende DPIA, og markerer et skærpet håndhævelsesniveau.

Bødeindstilling for utilstrækkelig behandlingssikkerhed

Datatilsynet har politianmeldt Netcompany og indstillet en administrativ bøde på 15 mio. kr. for alvorlige mangler i sikkerheden omkring mit.dk, der formidler digital post fra offentlige myndigheder. En fejl i autentificeringskomponenten muliggjorde, at brugere kunne få adgang til andre brugeres postkasser med fortrolige og følsomme oplysninger, herunder CPR-numre.

Selv om løsningen hurtigt blev lukket og rettet, vurderer Datatilsynet, at virksomheden ikke havde etableret passende tekniske og organisatoriske foranstaltninger som krævet af GDPR’s risikobaserede tilgang. Manglende opdagelse under test og kodegennemgang fremhæves som en væsentlig forsømmelse i forhold til behandlingssikkerhed efter GDPR art. 32 og principperne om indbygget databeskyttelse i art. 25.

DPIA-kravet ved høj risiko

Tilsynet konstaterede desuden, at der ikke var gennemført en konsekvensanalyse (DPIA), selv om behandlingen indebærer høj risiko for registreredes rettigheder. Kravet følger af GDPR art. 35 og skal sikre, at væsentlige risici identificeres og håndteres, før løsningen tages i brug. Se vejledning om konsekvensanalyser hos Datatilsynet på datatilsynet.dk.

Formålet med en DPIA er blandt andet at sikre et dokumenteret beslutningsgrundlag. En fyldestgørende DPIA bør som minimum adressere:

  1. beskrivelse af behandlingen og datatyper,
  2. vurdering af nødvendighed og proportionalitet,
  3. risici for registreredes rettigheder samt egnede afværgeforanstaltninger.

Praktiske læringspunkter for udviklere og dataansvarlige

Sagen understreger, at højrisiko-løsninger med adgang til myndighedspost kræver skærpede kontroller: sikker arkitektur, stærk autentificering, streng adgangskontrol, peer review, uafhængig test og løbende monitorering. Roller og ansvar mellem dataansvarlig og databehandler bør være klare og dokumenterede.

Bødestørrelsen markerer et skærpet håndhævelsesniveau og bør indgå i ledelsesrapporteringen om informationssikkerhed og compliance. Virksomheder med tilsvarende løsninger bør gennemgå deres sikkerhedsforanstaltninger, dokumentation og DPIA-praksis og sikre hurtig udbedring ved konstaterede svagheder. Læs Datatilsynets afgørelse på datatilsynet.dk.

Læs hele artiklen hos WTC advokaterne →
Søgeord
GDPR, Dokumentation, Fortrolige oplysninger, Informationssikkerhed, Risikobaseret tilgang, ISO 27001, Databeskyttelsesloven, Datatilsynet, Databeskyttelsesforordningen, Dataansvarlig, Privacy by design, Databrud, Sikkerhedsforanstaltninger, GDPR art 32, Konsekvensanalyse DPIA, Penetrationstest, Databehandler, Proportionalitet, Digital Post, Behandlingssikkerhed, GDPR art 35, Tilsynsmyndighed, Politianmeldelse, Offentlige myndigheder, Security by design, Adgangskontrol, Administrative bøder, Høj risiko, Uautoriseret adgang, Følsomme oplysninger, GDPR art 25, CPR nummer, Borgernes rettigheder, Nødvendighedsvurdering, Autentificering, Kodereview, Mit dk, Risikoscenarier, Ansvar og governance, Autentificeringskomponent

Relaterede artikler

SMV’er presses af falske påstande om Datatilsynet
Datatilsynet

SMV’er presses af falske påstande om Datatilsynet

Datatilsynet advarer om, at SMV’er bliver presset til at købe it-løsninger og GDPR-kurser under påstande om, at det er nødvendigt for at undgå bøder. Myndigheden kræver ikke bestemte produkter og indgår ikke kommercielle samarbejder. Søg officiel vejledning ved tvivl.
Klager til ledelsen gav ikke whistleblowerbeskyttelse
IUNO

Klager til ledelsen gav ikke whistleblowerbeskyttelse

Østre Landsret fastslår, at klager sendt til ledelsen ikke udløser whistleblowerbeskyttelse, når den interne eller eksterne ordning ikke bruges. Kommunens suspension af medarbejderen var saglig og lovlig som led i undersøgelsen af klagernes omfang og karakter.
Finansielle virksomheder skal mere konkret beskrive tiltag mod negative bæredygtighedsindvirkninger
DLA Piper

Finansielle virksomheder skal mere konkret beskrive tiltag mod negative bæredygtighedsindvirkninger

Finanstilsynet skærper forventningerne til PAI-erklæringer: Finansielle virksomheder skal beskrive specifikke, målbare tiltag for hver indikator, gøre erklæringerne let tilgængelige og forklare datahuller, særligt for biodiversitet, vand og affald. SFDR ændres senere, men gældende krav består.
EDPB vedtager udtalelse om tilstrækkelighedsafgørelse for Brasilien
Datatilsynet

EDPB vedtager udtalelse om tilstrækkelighedsafgørelse for Brasilien

EDPB er overordnet positiv over for EU-Kommissionens udkast til tilstrækkelighedsafgørelse for Brasilien, men efterlyser præciseringer om DPIA, oplysningspligt, undtagelser ved tredjelandsoverførsler, ANPD’s beføjelser og national sikkerhed. Rådet forbereder samtidig vejledning om forordning 2024/900 og GDPR.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Bech-Bruun
Jurist, advokatfuldmægtig eller advokat til IP & Life Science
Bech-Bruun
Børne- og Undervisningsministeriet
Jurist søges til ministerbetjening og lovgivningsarbejde
Børne- og Undervisningsministeriet
Københavns Kommune
Jurist til Centerteamet i Din Sociale Indgang
Københavns Kommune
Indenrigs- og Sundhedsministeriet
Jurister til Indenrigs- og Sundhedsministeriets departement (fuldmægtige og konsulenter)
Indenrigs- og Sundhedsministeriet
Erhvervsministeriet
Bliv en del af noget større - jurist til regulering og rådgivning i Finanstilsynet
Erhvervsministeriet
Advokatpartnerselskabet Kirk Larsen & Ascanius
Stud.jur. søges til vores kontor i København
Advokatpartnerselskabet Kirk Larsen & Ascanius
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →