I en ny afgørelse har Datatilsynet udtalt kritik i en sag vedrørende manglende sikkerhed ved brug af e-Boks Express. Sagen er et eksempel på, at et login ikke nødvendigvis kan beskytte dine data, hvis ikke kravet om passende sikkerhedsforanstaltninger bliver overholdt.
Brugere af e-Boks kunne fejlagtigt tilgå andre virksomhedsprofiler
Sagen udspringer af en episode i marts 2021, hvor en bruger af e-Boks Express loggede ind på tjenesten. I stedet for at komme ind på sin egen profil, kom brugeren direkte ind på en anden brugers profil. Her kunne vedkommende tilgå navnet på virksomheden, navnet på kontaktpersonen, virksomhedens adresse, CVR-nummer og overskriften samt datoen på et afsendt dokument.
Datatilsynet vurderer, at det er et brud på GDPR og udtaler derfor kritik af e-Boks for manglende sikkerhed. Du kan læse hele sagen her: e-Boks får kritik for ikke at have passende sikkerhed i e-Boks Express.
Ifølge Datatilsynet er der tale om en fejl i Nets’ opsætning af brugervalidering af NemID, hvilket betyder, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne brugeren etablere adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter i e-Boks Express.
Håndter persondata med omhu
Som virksomhed skal du være opmærksom på, hvordan du håndterer persondata. I den konkrete sag gjaldt det brug af NemID, men generelt skal man som virksomhed behandle persondata med fortrolighed, da det kan have store risici til følge. Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med behandling af personoplysninger og som skal vurdere, hvilke sikkerhedsforanstaltninger virksomheden vælger at etablere.
Hvorvidt sikkerhedsforanstaltningerne er tilstrækkelige, vurderer Datatilsynet ud fra mængden af personoplysninger, og hvor følsomme de er samt om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger.
Lav en risikovurdering
Ifølge GDPR skal den dataansvarlige udføre organisatoriske og tekniske sikkerhedstiltag for at mindske risikoen for at persondata kompromitteres. På den baggrund har vi en række anbefalinger. Herunder, at du udarbejder en risikovurdering, så du sikrer dig, at du har de tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Det giver anledning til, at du får etableret kontroller, som bl.a. sikrer klare procedure for, hvordan du foretager test af alle relevante systemer, som indeholder personoplysninger i relation til GDPR.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at
kontakte mig.
-large.jpg)
-medium.jpg)
-medium.jpg)
