Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet kritiserer e-Boks for manglende sikkerhed

WTC advokaterne
17/05/2022
Datatilsynet kritiserer e-Boks for manglende sikkerhed
WTC advokaterne logo
I en ny afgørelse har Datatilsynet udtalt kritik i en sag vedrørende manglende sikkerhed ved brug af e-Boks Express. Sagen er et eksempel på, at et login ikke nødvendigvis kan beskytte dine data, hvis ikke kravet om passende sikkerhedsforanstaltninger bliver overholdt.

Brugere af e-Boks kunne fejlagtigt tilgå andre virksomhedsprofiler

Sagen udspringer af en episode i marts 2021, hvor en bruger af e-Boks Express loggede ind på tjenesten. I stedet for at komme ind på sin egen profil, kom brugeren direkte ind på en anden brugers profil. Her kunne vedkommende tilgå navnet på virksomheden, navnet på kontaktpersonen, virksomhedens adresse, CVR-nummer og overskriften samt datoen på et afsendt dokument.


Datatilsynet vurderer, at det er et brud på GDPR og udtaler derfor kritik af e-Boks for manglende sikkerhed. Du kan læse hele sagen her: e-Boks får kritik for ikke at have passende sikkerhed i e-Boks Express.


Ifølge Datatilsynet er der tale om en fejl i Nets’ opsætning af brugervalidering af NemID, hvilket betyder, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne brugeren etablere adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter i e-Boks Express.


Håndter persondata med omhu

Som virksomhed skal du være opmærksom på, hvordan du håndterer persondata. I den konkrete sag gjaldt det brug af NemID, men generelt skal man som virksomhed behandle persondata med fortrolighed, da det kan have store risici til følge. Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med behandling af personoplysninger og som skal vurdere, hvilke sikkerhedsforanstaltninger virksomheden vælger at etablere.


Hvorvidt sikkerhedsforanstaltningerne er tilstrækkelige, vurderer Datatilsynet ud fra mængden af personoplysninger, og hvor følsomme de er samt om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger.


Lav en risikovurdering

Ifølge GDPR skal den dataansvarlige udføre organisatoriske og tekniske sikkerhedstiltag for at mindske risikoen for at persondata kompromitteres. På den baggrund har vi en række anbefalinger. Herunder, at du udarbejder en risikovurdering, så du sikrer dig, at du har de tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Det giver anledning til, at du får etableret kontroller, som bl.a. sikrer klare procedure for, hvordan du foretager test af alle relevante systemer, som indeholder personoplysninger i relation til GDPR.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Privat organisation indstilles til bøde på mindst 15 millioner kroner
Privat organisation indstilles til bøde på mindst 15 millioner kroner
01/02/2024
Persondata
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
08/02/2024
Persondata, Kontraktret, Compliance
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
12/02/2024
Persondata, Compliance
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
AI-forordningen er endelig på plads – hvad nu?
AI-forordningen er endelig på plads – hvad nu?
19/02/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted