Datatilsynet har politianmeldt Netcompany for brud på GDPR-reglerne, og kræver dem idømt en bøde på 15 millioner kroner, den største danske bøde i GDPR sammenhæng nogensinde. Det skriver tilsynet i en pressemeddelelse.
Politianmeldelsen sker på baggrund af en sag fra 2022, hvor Netcompany lancerede danskernes nye, digitale postkasse mit.dk, hvor Netcompany havde anvendt “uhensigtsmæssig kodning”, der “gav adgang til andres brugeres oplysninger”, som tilsynet skriver i sin meddelelse.
Basalt set betød det, at nogle brugere kunne tilgå andres digitale post og dermed personoplysninger af både fortrolig og følsom karakter. Da Netcompany blev opmærksomme på fejlen, lukkede man mit.dk ned.
”Der er tale om en velbeskrevet næsten to år gammel sag. Vi har lagt alt frem og redegjort for fejlen til Datatilsynet. I det øjeblik den menneskelige fejl blev identificeret tilbage i marts 2022, lukkede Netcompany systemet ned øjeblikkeligt. Derved endte fejlen med potentielt at berøre 10-50 borgeres digitale postkasser på Mit.dk i cirka en time. Det ændrer ikke på, at fejl med én postkasse er én for meget. Fejlen på platformen blev udbedret, og der blev indført en række tiltag for at sikre, at den type fejl ikke kunne opstå igen. Mit.dk har kørt stabilt siden. Vi imødekommer, at de rette myndigheder træffer endelig afgørelse i sagen,” skriver Netcompanys CEO, André Rogaczewski, i et skriftligt svar.
Det er den største bøde, Datatilsynet hidtil har indstillet til. Beløbet skal også ses i kontekst af størrelsen på Netcompany: Efter EU-lov fastsættes takseres GDPR-overtrædelser for mellem 2 og 4 procent af en virksomheds årlige omsætning.
“Det danske samfund er højt digitaliseret, og derfor er det afgørende, at borgerne kan have tillid til, at sikkerheden i den nationale kritiske infrastruktur er i orden. En sag som denne kan gå ud over den tillid, og også af denne årsag er Datatilsynet nødt til at slå hårdt ned. Løsninger som mit.dk er nødt til at forvalte borgenes data ansvarligt, sikkert og med respekt for den enkeltes privatliv,” skriver chefkonsulent i Datatilsynet, Vibeke Dyssemark Thomsen, i pressemeddelelsen.
Politianmeldelsen sker også på baggrund af, at Netcompany ikke havde udarbejdet en konsekvensanalyse i forbindelse med udviklingen af mit.dk.
”Udarbejdelse af en konsekvensanalyse er ikke en formalitet. Analysen er en væsentlig retssikkerhedsgaranti for borgernes rettigheder, når behandlingen af deres oplysninger har en indbygget høj risiko. Arbejdet med sådan en analyse indebærer nemlig en grundig og struktureret proces, som giver et bedre og mere detaljeret overblik over de risici, som er forbundet med en bestemt løsning, ligesom der i processen skal findes og implementeres de nødvendige foranstaltninger til at imødegå og nedbringe risikoen. Konsekvensanalysen skal være lavet, inden behandlingen går i gang, så man er sikker på, at alle centrale risici er håndteret, og alle høje risici nedbragt,” skriver Vibeke Dyssemark Thomsen.
