e-Boks modtager kritik for manglende sikkerhed i e-Boks Express

Datatilsynet startede en sag efter at være blevet bekendt med, at en bruger kunne tilgå en anden brugers profil ved login på e-Boks Express. E-Boks Express er en selvbetjeningsportal for virksomheder til at sende beskeder og dokumenter.

Problemets Omfang

En fejl i Nets' opsætning af brugervalideringen af NemID medførte, at brugere, der loggede på e-Boks Express med NemID Erhverv/NemID medarbejdersignatur via nøglekort, kunne få adgang til andre virksomheders oplysninger og sendte dokumenter.

E-Boks' Argumenter

E-Boks anførte, at NemID bruges i e-Boks Express for at sikre, at kun autoriserede personer har adgang.

Datatilsynets Fokus

Datatilsynet fokuserede på, om e-Boks havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med Databeskyttelsesforordningen § 32, stk. 1. Tilsynet vurderede, at login med NemID ikke tilstrækkeligt beskytter data, hvis brugerrettighederne efter login ikke er korrekt konfigureret.

Afgørelse

Datatilsynet udtalte kritik af, at e-Boks ikke havde sikret passende sikkerhedsforanstaltninger i e-Boks Express, jf. Databeskyttelsesforordningen § 32, stk. 1.

Begrundelse

Datatilsynet lagde vægt på:

• E-Boks havde ikke testet alle relevante brugsscenarier ved login med NemID Erhverv/NemID medarbejdersignatur med nøglekort.
• Login med NemID ikke beskytter data, hvis brugerrettighederne efter login ikke er korrekte.
• Testning skal afdække mulige fejlscenarier, herunder forskellige implementeringer af NemID hos brugerne.

Datatilsynet bemærkede, at selvom bruddet gav mulighed for at se begrænsede oplysninger (kontaktperson, virksomhedsnavn, titel på beskeder og tidspunkt for afsendelse), og at udnyttelse af fejlen krævede login med NemID, var det ikke tilstrækkeligt til at undgå kritik.