Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet kritiserer e-Boks for manglende sikkerhed

WTC advokaterne
17/05/2022
Datatilsynet kritiserer e-Boks for manglende sikkerhed
WTC advokaterne logo
I en ny afgørelse har Datatilsynet udtalt kritik i en sag vedrørende manglende sikkerhed ved brug af e-Boks Express. Sagen er et eksempel på, at et login ikke nødvendigvis kan beskytte dine data, hvis ikke kravet om passende sikkerhedsforanstaltninger bliver overholdt.

Brugere af e-Boks kunne fejlagtigt tilgå andre virksomhedsprofiler

Sagen udspringer af en episode i marts 2021, hvor en bruger af e-Boks Express loggede ind på tjenesten. I stedet for at komme ind på sin egen profil, kom brugeren direkte ind på en anden brugers profil. Her kunne vedkommende tilgå navnet på virksomheden, navnet på kontaktpersonen, virksomhedens adresse, CVR-nummer og overskriften samt datoen på et afsendt dokument.


Datatilsynet vurderer, at det er et brud på GDPR og udtaler derfor kritik af e-Boks for manglende sikkerhed. Du kan læse hele sagen her: e-Boks får kritik for ikke at have passende sikkerhed i e-Boks Express.


Ifølge Datatilsynet er der tale om en fejl i Nets’ opsætning af brugervalidering af NemID, hvilket betyder, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne brugeren etablere adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter i e-Boks Express.


Håndter persondata med omhu

Som virksomhed skal du være opmærksom på, hvordan du håndterer persondata. I den konkrete sag gjaldt det brug af NemID, men generelt skal man som virksomhed behandle persondata med fortrolighed, da det kan have store risici til følge. Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med behandling af personoplysninger og som skal vurdere, hvilke sikkerhedsforanstaltninger virksomheden vælger at etablere.


Hvorvidt sikkerhedsforanstaltningerne er tilstrækkelige, vurderer Datatilsynet ud fra mængden af personoplysninger, og hvor følsomme de er samt om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger.


Lav en risikovurdering

Ifølge GDPR skal den dataansvarlige udføre organisatoriske og tekniske sikkerhedstiltag for at mindske risikoen for at persondata kompromitteres. På den baggrund har vi en række anbefalinger. Herunder, at du udarbejder en risikovurdering, så du sikrer dig, at du har de tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Det giver anledning til, at du får etableret kontroller, som bl.a. sikrer klare procedure for, hvordan du foretager test af alle relevante systemer, som indeholder personoplysninger i relation til GDPR.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
WTC advokaterne logo
Hillerød
Slotsgade 36B, 1.
3400 Hillerød
(+45) 48 22 00 40
(+45) 48 22 00 41
wtc@wtc.dk
Helsingør
Stengade 37
3000 Helsingør
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted