fbpx

Datatilsynet kritiserer e-Boks for manglende sikkerhed

Datatilsynet kritiserer e-Boks for manglende sikkerhed

Datatilsynet kritiserer e-Boks for manglende sikkerhed
Udgivet den 11. maj. 2022

Del artiklen

I en ny afgørelse har Datatilsynet udtalt kritik i en sag vedrørende manglende sikkerhed ved brug af e-Boks Express. Sagen er et eksempel på, at et login ikke nødvendigvis kan beskytte dine data, hvis ikke kravet om passende sikkerhedsforanstaltninger bliver overholdt.

Brugere af e-Boks kunne fejlagtigt tilgå andre virksomhedsprofiler

Sagen udspringer af en episode i marts 2021, hvor en bruger af e-Boks Express loggede ind på tjenesten. I stedet for at komme ind på sin egen profil, kom brugeren direkte ind på en anden brugers profil. Her kunne vedkommende tilgå navnet på virksomheden, navnet på kontaktpersonen, virksomhedens adresse, CVR-nummer og overskriften samt datoen på et afsendt dokument.

Datatilsynet vurderer, at det er et brud på GDPR og udtaler derfor kritik af e-Boks for manglende sikkerhed. Du kan læse hele sagen her: e-Boks får kritik for ikke at have passende sikkerhed i e-Boks Express.

Ifølge Datatilsynet er der tale om en fejl i Nets’ opsætning af brugervalidering af NemID, hvilket betyder, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne brugeren etablere adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter i e-Boks Express.

Håndter persondata med omhu

Som virksomhed skal du være opmærksom på, hvordan du håndterer persondata. I den konkrete sag gjaldt det brug af NemID, men generelt skal man som virksomhed behandle persondata med fortrolighed, da det kan have store risici til følge. Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med behandling af personoplysninger og som skal vurdere, hvilke sikkerhedsforanstaltninger virksomheden vælger at etablere.

Hvorvidt sikkerhedsforanstaltningerne er tilstrækkelige, vurderer Datatilsynet ud fra mængden af personoplysninger, og hvor følsomme de er samt om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger.

Læs også: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?

Lav en risikovurdering

Ifølge GDPR skal den dataansvarlige udføre organisatoriske og tekniske sikkerhedstiltag for at mindske risikoen for at persondata kompromitteres. På den baggrund har vi en række anbefalinger. Herunder, at du udarbejder en risikovurdering, så du sikrer dig, at du har de tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Det giver anledning til, at du får etableret kontroller, som bl.a. sikrer klare procedure for, hvordan du foretager test af alle relevante systemer, som indeholder personoplysninger i relation til GDPR.

Er du i tvivl om, hvem der er dataansvarlig, så læs med her: Hvad er forskellen på en dataansvarlig og en databehandler?

Har du spørgsmål?

Hvis du ønsker at høre mere, eller har spørgsmål til artiklen, så er du velkommen til at kontakte os.

Del artiklen

Del artiklen med dit netværk