Netcompany indstilles til bøde

Netcompany indstilles til bøde

Compliance IT-ret EU-ret Persondata og cybersikkerhed
Datatilsynet indstiller Netcompany til mindst 15 mio. kr. i bøde for GDPR-brud ved mit.dk. En autentifikationsfejl gav adgang til andres digitale post, og der manglede både privacy by design og en DPIA. Sagen signalerer skærpet sanktionslinje for kritisk digital infrastruktur.

Datatilsynet har indstillet Netcompany til en bøde på mindst 15 mio. kr. for overtrædelser af GDPR i forbindelse med udviklingen af mit.dk. Som dataansvarlig manglede virksomheden passende tekniske og organisatoriske foranstaltninger, herunder privacy by design, og der var ikke udarbejdet en konsekvensanalyse før idriftsættelsen. En autentifikationsfejl gav brugere adgang til andre borgeres digitale post med fortrolige og følsomme oplysninger.

Retligt grundlag og sanktionsvurdering

Datatilsynet lægger vægt på forpligtelserne i GDPR: art. 25 om indbygget databeskyttelse, art. 32 om behandlingssikkerhed, art. 35 om konsekvensanalyser og art. 83 om effektive, proportionale og afskrækkende bøder. Sagens grovhed forstærkes af løsningens karakter og de data, der behandles.

Beløbsniveauet afspejler både overtrædelsernes alvor og virksomhedens størrelse. Politianmeldelsen begrundes med, at fejlen var basal i forhold til systemets formål, og at en passende risikobaseret tilgang burde have forebygget hændelsen forud for lancering.

Teknisk fejl og hændelsesforløb

Fejlen opstod ved samtidige logins, hvor uhensigtsmæssig kodning i autentifikationskomponenten forvanskede sessioner og muliggjorde uautoriseret adgang. Trods kodereview, statisk analyse og performancetest blev fejlen ikke identificeret før drift.

Efter henvendelser fra brugere blev løsningen nedlukket, fejlen rettet og bruddet anmeldt. Forløbet illustrerer, at generiske test ikke er tilstrækkelige, når konsekvenserne ved fejlslagen adgangskontrol er særligt alvorlige.

Praktiske implikationer

Dataansvarlige bør tidligt kortlægge kritiske risikoscenarier og gennemføre målrettede tests af autentifikation, sessionshåndtering og adgangsstyring. En DPIA før behandling etablerer et struktureret overblik over risici og de nødvendige afværgeforanstaltninger.

Styrket dokumentation, governance og løbende validering af sikkerhedskrav er nødvendig ved løsninger, der håndterer digital post og andre oplysninger af høj følsomhed. Sagen markerer en skærpet forventning til risikobaseret compliance i nationale digitale infrastrukturer.

Læs hele artiklen hos Datatilsynet →
Søgeord
GDPR, Fortrolige oplysninger, Risikovurdering, Databeskyttelsesloven, Datatilsynet, DPIA, Databeskyttelsesforordningen, Konsekvensanalyse, Dataansvarlig, Privacy by design, Brud på persondatasikkerheden, Datasikkerhed, Proportionalitet, Anmeldelse af brud, Digital Post, Behandlingssikkerhed, Sanktionspraksis, Politianmeldelse, Adgangskontrol, Ansvarlighedsprincippet, Tilsynssag, Artikel 35, Følsomme oplysninger, Privacy by default, Store virksomheder, Persondatabeskyttelse, Integritet og fortrolighed, Afskrækkende effekt, Artikel 25, Bødeindstilling, Artikel 83, Artikel 32, Autentifikation, Kodereview, Artikel 33, Passende sikkerhedsforanstaltninger, Statisk kodeanalyse, Performancetest, Mit.dk, National kritisk infrastruktur

Relaterede artikler

FSR i praksis: Europa-kommissionens nye retningslinjer
Kromann Reumert

FSR i praksis: Europa-kommissionens nye retningslinjer

Kommissionens retningslinjer til FSR skærper rammen for fusioner og offentlige udbud med fokus på fordrejningstest, balancering af positive effekter og målrettet call-in. De minimis-afgrænsning og aktuel praksis fra ADNOC/Covestro giver virksomheder konkret pejling på risici og tilsagn.
Advokatrådet ændrer proces for udstedelse af hvidvaskpåbud
Advokatsamfundet

Advokatrådet ændrer proces for udstedelse af hvidvaskpåbud

Fra 1. april 2026 udsteder Advokatrådet påbud ved alvorlige, gentagne eller systematiske brud på hvidvaskloven – også ved første tilsyn. Påbud offentliggøres i fem år efter partshøring. Ændringen skal styrke præventiv effekt og lægge sig på linje med andre tilsyn.
New digital consumer protection rules for insurers
Plesner

New digital consumer protection rules for insurers

Fra 19. juni 2026 skærpes reglerne for online salg af forsikringer: digital fortrydelsesknap, udvidet oplysningspligt, dansk sprogkrav, forklaringspligt og forbud mod manipulative designmønstre. Selskaber bør nu tilpasse deres digitale kunderejser.
Atomkraft i Danmark: Ny rapport fra Energistyrelsen
Kromann Reumert

Atomkraft i Danmark: Ny rapport fra Energistyrelsen

Energistyrelsens SMR-analyse peger på, at atomkraft i Danmark kræver et nyt lovgrundlag, stærkt tilsyn og tydelige affaldsløsninger. Økonomien er presset af lave elpriser, så kraftvarme eller statslig støtte kan blive nødvendig, hvis idriftsættelse skal være realistisk efter 2040.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Finanstilsynet
Erfaren jurist til Finanstilsynets tilsyn med betalingstjenester
Finanstilsynet
Erhvervsministeriet
Dygtig student til arbejdet med velfungerende kapitalmarkeder
Erhvervsministeriet
Klima-, Energi- og Forsyningsministeriet
Talentfulde jurister til Koncernjura
Klima-, Energi- og Forsyningsministeriet
Styrelsen for Patientklager
Vi søger studentermedhjælper til Styrelsen for Patientklager
Styrelsen for Patientklager
Statens Serum Institut
Erfarne jurister/erhvervsjurister til databeskyttelse og compliance
Statens Serum Institut
Politiets Efterretningstjeneste
Kollega til operative og databeskyttelsesretlige revisioner i PET
Politiets Efterretningstjeneste
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.
Opret gratis profil →