Privat organisation indstilles til bøde på mindst 15 millioner kroner

Datatilsynet har offentliggjort deres hidtil største bødeindstilling siden GDPR trådte i kraft.

Bøden kommer på baggrund af en sag om en privat organisation, der var ansvarlig for udviklingen af Mit.dk, en digital platform til at facilitere borgeres adgang til digital post. Organisationen havde ikke implementeret passende sikkerhedsforanstaltninger under udviklingen af Mit.dk. Derudover havde organisationen ikke sikret at der blev indbygget passende sikkerhedsforanstaltninger i selve designet af løsningen – også kaldet privacy by design.  Desuden havde organisationen ikke udarbejdet en konsekvensanalyse i forbindelse med udviklingen af platformen. 

Som et direkte resultat af ovenstående, opnåede brugere uautoriseret adgang til andre brugeres digitale post og personoplysninger af både fortrolig og følsom karakter.

Udarbejdelse af konsekvensanalyse (”DPIA”)

Bødeindstillingen tydeliggør vigtigheden af, at organisationer, der skal udvikle it-systemer, der indebærer en høj risiko for de registrerede, skal udarbejde en DPIA. DPIA’en skal bidrage til at fastslå, hvad der udgør de største risici it-systemet, så organisationen i forbindelse med testfasen, kan have særlig fokus på netop de områder, hvor risikoen er højest. En tilstrækkelig DPIA kan dermed hjælpe organisationen med at sikre, at eventuelle kodefejl eller lignende, opdages i testfasen og ikke først efter udrulningen af systemet.

Kontakt os for specialiseret rådgivning

Vores team af databeskyttelsesspecialister tilbyder rådgivning om udførelsen af DPIA'er, hjælper med at identificere behovet for en sådan analyse, og vejleder gennem processen til sikring af compliance med databeskyttelseslovgivningen.

Seneste nyheder

Vis mere
udbudsret advokat

Manglende erfaring i brug af elektronisk udbudsportal er eget ansvar

maj 08 2024

Læs mere

Ordregivers skønsmæssige kvalitative vurdering tilsidesat i ny kendelse fra Klagenævnet for Udbud

maj 01 2024

Læs mere
cybersecurity datacenter NIS2

Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys

apr 24 2024

Læs mere