Datatilsynet har offentliggjort deres hidtil største bødeindstilling siden GDPR trådte i kraft.
Bøden kommer på baggrund af en sag om en privat organisation, der var ansvarlig for udviklingen af Mit.dk, en digital platform til at facilitere borgeres adgang til digital post. Organisationen havde ikke implementeret passende sikkerhedsforanstaltninger under udviklingen af Mit.dk. Derudover havde organisationen ikke sikret at der blev indbygget passende sikkerhedsforanstaltninger i selve designet af løsningen – også kaldet privacy by design. Desuden havde organisationen ikke udarbejdet en konsekvensanalyse i forbindelse med udviklingen af platformen.
Som et direkte resultat af ovenstående, opnåede brugere uautoriseret adgang til andre brugeres digitale post og personoplysninger af både fortrolig og følsom karakter.
Udarbejdelse af konsekvensanalyse (”DPIA”)
Bødeindstillingen tydeliggør vigtigheden af, at organisationer, der skal udvikle it-systemer, der indebærer en høj risiko for de registrerede, skal udarbejde en DPIA. DPIA’en skal bidrage til at fastslå, hvad der udgør de største risici it-systemet, så organisationen i forbindelse med testfasen, kan have særlig fokus på netop de områder, hvor risikoen er højest. En tilstrækkelig DPIA kan dermed hjælpe organisationen med at sikre, at eventuelle kodefejl eller lignende, opdages i testfasen og ikke først efter udrulningen af systemet.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
