Digitaliseringsstyrelsen får kritik af Datatilsynet: Gav uvedkommende adgang til digital post

1 kommentar.  Hop til debatten
Digitaliseringsstyrelsen får kritik af Datatilsynet: Gav uvedkommende adgang til digital post
Illustration: Digitaliseringsstyrelsen/Agnete Schlichtkrull.
Efter en menneskelig fejl hos Digitaliseringsstyrelsen fik 26 kuratorer uautoriserede adgang til virksomheders digitale postkasser.
23. marts kl. 10:30
errorÆldre end 30 dage

26 kuratorer fik sidste år uautoriseret adgang til virksomheders digitale postkasser, efter en menneskelig fejl hos Digitaliseringsstyrelsen. Derfor udtaler Datatilsynet nu kritik af styrelsen for at bryde med GDPR:

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1,« skriver tilsynsmyndigheden i afgørelsen.

Digitaliseringsstyrelsen anmeldte selv databruddet til Datatilsynet den 31. marts 2021, efter et advokatfirma kontaktetede styrelsen i dagene forinden og gjorde opmærksom på, at en kurator havde fået uretmæssig adgang til en virksomheds digitale postkasse.

Den 30. marts kontaktede Digitaliseringsstyrelsen leverandøren e-Boks, som lukkede for adgangen, hvorefter styrelsen undersøgte sagen nærmere og fandt, at man havde tildelt 25 andre kuratorer adgang til forkerte virksomheders postkasser.

Kuratorers adgang til digital post

Ved at rette henvendelse til Digitaliseringsstyrelsen kan kuratorer og likvidatorer anmode om at få adgang til en virksomheds digitale postkasse, hvis de håndterer en sag om konkur eller ophør af firmaet. Styrelsen laver ugentligt tre lister over kuratorer og de virksomheder, der skal gives adgang til. Det er i en af de lister, det er gået galt.

Ifølge styrelsen stammer fejlen fra en liste over, hvilke kuratorer der skal tildeles adgang til specifikke konkursramte virksomheders digitale postkasser. Digitaliseringsstyrelsen formoder, at der er sket en menneskelig fejl, hvor en medarbejder har fået forskudt rækken med kuratorer og virksomheder, så de ikke passer sammen.

Artiklen fortsætter efter annoncen

»Digitaliseringsstyrelsen har gjort gældende, at den fejlagtige tildeling formentlig er sket ved, at linjerne med cvr-numre er blevet forskudt, således at cvr-numre på adgangshaver og adgangsgiver er blevet sammensat forkert i den fremsendte liste,« oplyser styrelsen til Datatilsynet.

Listen blev efterfølgende sendt til e-Boks, som gav adgang, uden at nogen tjekkede, om oplysningerne var korrekte.

Manglende sikkerhed

Efterfølgende har styrelsen indført en procedure, hvor en ekstra medarbejder gennemgår listerne for fejl, inden de sendes til e-Boks. Årsagen til, at man ikke allerede havde indført et ekstra led i sikkerhedsprocessen, er, at styrelsen aldrig har oplevet lignende hændelser:

»Den liste, hvor den pågældende sikkerhedshændelse opstod, ikke var omfattet af denne procedure på daværende tidspunkt, da styrelsen ikke tidligere havde oplevet problemer med denne specifikke liste. Hvilket var årsagen til, at fejlen ikke blev opdaget af den anden medarbejder.«

Men det er ikke godt nok, mener Datatilsynet. Ifølge GDPR skal dataansvarlige – i dette tilfælde Digitaliseringsstyrelsen – indføre »passende tekniske og organisatoriske foranstaltninger« for at sikre oplysningerne. 

»Det er Datatilsynets opfattelse, at tildeling af adgange til postkasser, der tilhører tredjemænd, også hvor en kurator gives adgang til boets aktiver og digitale post, skal verificeres inden adgangen bliver effektueret. Det vil derfor normalt være udtryk for passende sikkerhed, at der inden adgangen åbnes, sker en kontrol af, at det er den kurator –  der er udpeget – der reelt også får adgangen.«

Det er ikke nok først at reagere, når problemet opstår, uddyber tilsynet, og derfor får styrelsen kritik.

Digitaliseringsstyrelsen har dog bestilt relevante logfiler hos e-Boks, der viser, at ingen af de 26 forkerte adgange har været anvendt. Derfor er det heller ikke nødvendigt at oplyse hverken advokatfirmaerne eller registrerede, hvis personoplysninger kan fremgå af posten, om persondatabruddet, uddyber styrelsen i afgørelsen.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
24. marts kl. 10:39

Det lader til, at de har en rent manuel arbejdsgang. Ud over at det er ineffektivt, giver det også mulighed for den her slags fejl.