Privat organisation indstilles til bøde på mindst 15 millioner kroner

Bøden kommer på baggrund af en sag om en privat organisation, der var ansvarlig for udviklingen af Mit.dk, en digital platform til at facilitere borgeres adgang til digital post. Organisationen havde ikke implementeret passende sikkerhedsforanstaltninger under udviklingen af Mit.dk. Derudover havde organisationen ikke sikret at der blev indbygget passende sikkerhedsforanstaltninger i selve designet af løsningen – også kaldet privacy by design.  Desuden havde organisationen ikke udarbejdet en konsekvensanalyse i forbindelse med udviklingen af platformen. 

Som et direkte resultat af ovenstående, opnåede brugere uautoriseret adgang til andre brugeres digitale post og personoplysninger af både fortrolig og følsom karakter.

Udarbejdelse af konsekvensanalyse (”DPIA”)

Bødeindstillingen tydeliggør vigtigheden af, at organisationer, der skal udvikle it-systemer, der indebærer en høj risiko for de registrerede, skal udarbejde en DPIA. DPIA’en skal bidrage til at fastslå, hvad der udgør de største risici it-systemet, så organisationen i forbindelse med testfasen, kan have særlig fokus på netop de områder, hvor risikoen er højest. En tilstrækkelig DPIA kan dermed hjælpe organisationen med at sikre, at eventuelle kodefejl eller lignende, opdages i testfasen og ikke først efter udrulningen af systemet.

Kontakt os for specialiseret rådgivning

Vores team af databeskyttelsesspecialister tilbyder rådgivning om udførelsen af DPIA'er, hjælper med at identificere behovet for en sådan analyse, og vejleder gennem processen til sikring af compliance med databeskyttelseslovgivningen.