Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet kritiserer e-Boks for manglende sikkerhed

WTC advokaterne
17/05/2022
Datatilsynet kritiserer e-Boks for manglende sikkerhed
WTC advokaterne logo
I en ny afgørelse har Datatilsynet udtalt kritik i en sag vedrørende manglende sikkerhed ved brug af e-Boks Express. Sagen er et eksempel på, at et login ikke nødvendigvis kan beskytte dine data, hvis ikke kravet om passende sikkerhedsforanstaltninger bliver overholdt.

Brugere af e-Boks kunne fejlagtigt tilgå andre virksomhedsprofiler

Sagen udspringer af en episode i marts 2021, hvor en bruger af e-Boks Express loggede ind på tjenesten. I stedet for at komme ind på sin egen profil, kom brugeren direkte ind på en anden brugers profil. Her kunne vedkommende tilgå navnet på virksomheden, navnet på kontaktpersonen, virksomhedens adresse, CVR-nummer og overskriften samt datoen på et afsendt dokument.


Datatilsynet vurderer, at det er et brud på GDPR og udtaler derfor kritik af e-Boks for manglende sikkerhed. Du kan læse hele sagen her: e-Boks får kritik for ikke at have passende sikkerhed i e-Boks Express.


Ifølge Datatilsynet er der tale om en fejl i Nets’ opsætning af brugervalidering af NemID, hvilket betyder, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne brugeren etablere adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter i e-Boks Express.


Håndter persondata med omhu

Som virksomhed skal du være opmærksom på, hvordan du håndterer persondata. I den konkrete sag gjaldt det brug af NemID, men generelt skal man som virksomhed behandle persondata med fortrolighed, da det kan have store risici til følge. Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med behandling af personoplysninger og som skal vurdere, hvilke sikkerhedsforanstaltninger virksomheden vælger at etablere.


Hvorvidt sikkerhedsforanstaltningerne er tilstrækkelige, vurderer Datatilsynet ud fra mængden af personoplysninger, og hvor følsomme de er samt om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger.


Lav en risikovurdering

Ifølge GDPR skal den dataansvarlige udføre organisatoriske og tekniske sikkerhedstiltag for at mindske risikoen for at persondata kompromitteres. På den baggrund har vi en række anbefalinger. Herunder, at du udarbejder en risikovurdering, så du sikrer dig, at du har de tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Det giver anledning til, at du får etableret kontroller, som bl.a. sikrer klare procedure for, hvordan du foretager test af alle relevante systemer, som indeholder personoplysninger i relation til GDPR.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her.
WTC advokaterne logo
Hillerød
Slotsgade 36B, 1.
3400 Hillerød
(+45) 48 22 00 40
(+45) 48 22 00 41
wtc@wtc.dk
Helsingør
Stengade 37
3000 Helsingør
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Uddannelsesjurist søges til Det Samfundsvidenskabelige Fakultet
Funktionsleder til Indkøb og Jura
Jurister med EU-profil til lovfortolkning og forvaltning af erhvervsfremmeprojekter i Erhvervsstyrelsen i Silkeborg
Jobcenter Varde søger 1 jura studentermedhjælper (genopslag)
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2022 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted