Kæmpebøde til Netcompany

Datatilsynet har politianmeldt Netcompany og indstillet dem til den indtil videre største bøde på 15 millioner kr. i forbindelse med udviklingen af mit.dk.

Virksomheden har ikke sikret et passende sikkerhedsniveau, og der skulle have været udarbejdet en konsekvensanalyse, vurderer tilsynet.

It-løsningen mit.dk driftes og ejes af Netcompany, og borgere og virksomheder kan vælge at anvende løsningen til at tilgå digital post fra bl.a. offentlige myndigheder.

I forbindelse med udviklingen af mit.dk anvendte Netcompany en uhensigtsmæssig kodning i den komponent, der skal autentificere brugerne af mit.dk. Da løsningen blev sat i drift i marts 2022, opstod der derfor næsten med det samme en fejl, når flere brugere loggede ind på løsningen samtidig – og fejlen gjorde, at brugere fik uberettiget adgang til andre brugeres digitale post og dermed til personoplysninger af både fortrolig og følsom karakter. Dette medførte en unødig høj risiko for alle brugere af mit.dk.

Netcompany blev opmærksom på den uhensigtsmæssige kodning kort efter lanceringen af mit.dk, da flere brugere henvendte sig til virksomheden om, at de kunne tilgå andre brugeres oplysninger. Løsningen blev herefter lukket ned, indtil den uhensigtsmæssige kodning var udbedret, og bruddet blev anmeldt til Datatilsynet.