Digitaliseringsstyrelsen kritiseres for manglende sikkerhed ved tildeling af adgang til digitale postkasser

Digitaliseringsstyrelsen anmeldte et brud på persondatasikkerheden til Datatilsynet, efter at 26 kuratorer ved en fejl fik adgang til de forkerte virksomheders digitale postkasser. Fejlen opstod, da linjerne med cvr-numre formentlig var blevet forskudt på en liste, som styrelsen havde sendt til e-Boks.

Digitaliseringsstyrelsen anførte, at de ikke tidligere havde oplevet fejl i udarbejdelsen af disse lister og indførte efterfølgende en ekstra kontrolprocedure for at minimere risikoen for fremtidige fejl.

Datatilsynet vurderede, at Digitaliseringsstyrelsen ikke havde indført tilstrækkelige foranstaltninger til at sikre, at listerne var korrekte, og at de alene havde baseret sikkerheden på, at der ikke tidligere var sket menneskelige fejl. Datatilsynet bemærkede, at det er alment kendt, at menneskelige fejl kan forekomme, og at sikkerheden derfor ikke udelukkende kan baseres på en antagelse om, at mennesker ikke begår fejl.

Afgørelse

Datatilsynet udtalte kritik af Digitaliseringsstyrelsen for ikke at have overholdt kravene i databeskyttelsesforordningens artikel 32, stk. 1, om passende sikkerhed ved behandling af personoplysninger.

• Digitaliseringsstyrelsen havde ikke indført tilstrækkelige foranstaltninger til at sikre korrektheden af de lister, der blev brugt til at tildele adgang til digitale postkasser.
• Styrelsen havde baseret sin sikkerhed på en forventning om, at menneskelige fejl ikke ville forekomme, hvilket Datatilsynet fandt utilstrækkeligt.
• Datatilsynet lagde vægt på, at Digitaliseringsstyrelsen tidligere havde oplevet lignende fejl, og at det er almindeligt kendt, at menneskelige fejl kan ske.