I juni 2025 udtalte Datatilsynet alvorlig kritik over for Digitaliseringsstyrelsen for en række brud på reglerne om behandlingssikkerhed i forbindelse med implementeringen og driften af Næste generations Digital Post (NgDP). Udtalelsen omfatter fire anmeldte sikkerhedsbrud samt én sag rejst af egen drift.
Udfaldet af sagen
Datatilsynet konkluderer, at Digitaliseringsstyrelsen har overtrådt databeskyttelsesforordningens artikel 32, som pålægger dataansvarlige at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene ved behandlingen.
Fejlene bestod bl.a. i:
- Manglende test og kvalitetssikring før og under idriftsættelsen af NgDP.
- Forkert håndtering af brugeres læserettigheder til Digital Post og herunder adskillige kodningsfejl
- Utilstrækkelige kontroller i forbindelse med systemopdateringer.
- Fejl i migreringen af data fra CPR-registeret, som førte til forkert tilmelding af borgere til NgDP.
Derudover har Datatilsynet også udtalt kritik for manglende dokumenteret risikovurdering i en relateret sag om anvendelse af JavaScript ved MitID-login, jf. forordningens artikel 32, stk. 1 og 2.
Hvad er vigtigt at lægge vægt på som dataansvarlig?
Uagtet om den dataansvarlige er en offentlig- eller privat aktør, gælder der de samme forpligtelser ifm. sikring af compliance i henhold til databeskyttelsesforordningen. Datatilsynet fremhæver flere centrale forpligtelser for dataansvarlige – især når det gælder komplekse systemer med mange registrerede:
- Systematisk test og risikovurdering: Både inden idriftsættelse og ved større ændringer.
- Styring af brugeradgange og rettigheder – Adgangsfejl kan føre til brud på fortrolighedsprincippet.
- Overvågning og kontrol af datamigrering
- Dokumentation og ansvarlighed – Som dataansvarlig skal man kunne påvise, at man har overholdt kravene, jf. artikel 5, stk. 2.
Konklusion
Sagen markerer en skærpelse i Datatilsynets forventninger til offentlige myndigheder. Tilmed understreger afgørelsen hvilke forpligtelser der er centrale at holde for øje som dataansvarlig – både for private- og offentlige aktører: Der stilles krav om, at sikkerhedsforanstaltninger ikke blot er tænkt, men også testet, kontrolleret og dokumenteret.
Ønsker du rådgivning om hvorvidt din organisation handler i overensstemmelse med databeskyttelsesreglerne, kan du kontakte Frederikke Hagen Berg på tlf. (+45) 33 34 79 03 eller pr. mail: fhb@elmann.dk.
