Da en bruger af e-Boks Express i marts sidste år loggede ind på tjenesten, kom han i stedet direkte ind på en anden brugers profil.
Denne it-mæssige bommert udløser nu kritik fra Datatilsynet, der indledte en undersøgelse af e-Boks tilbage i april 2021, oplyser myndigheden i en meddelelse.
På e-Boks Express kan virksomheder sende beskeder og dokumenter via en selvbetjeningsløsning.
Ifølge Datatilsynet skulle der være tale om en fejl i Nets' opsætning af brugervalideringen af NemID, hvilket udløste fejlen.
Det medførte, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne der etableres adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter, lyder det.
Selvom fejlen angiveligt opstod hos Nets, så udtaler Datatilsynet stadig kritik af e-Boks, da:
"E-Boks ikke havde levet op til kravet om passende sikkerhedsforanstaltninger, fordi e-Boks ikke havde testet alle relevante brugsscenarier ved login i e-Boks Express."
Fejlen berørte kun et "begrænset antal brugere"
Datatilsynet argumenterer derfor for, at e-Boks burde have opdaget fejlen med, at e-Boks Express gav adgang til andre brugeres data gennem tests af systemet.
Dette har altså fået Datatilsynet til at udtale kritik af e-Boks' behandling af personoplysninger, der ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.
Selve fejlen relaterede sig alene til brug af nøglekort, lyder det. e-Boks har senere oplyst, at virksomheden har været i dialog med Nets', der har bekræftet, at fejlen i opsætningen er blevet rettet.
Nets har ligeledes fortalt Datatilsynet, at fejlen kun omhandlede personer, der brugte NemID-nøglekort samtidig med e-Boks Express-løsningen. Det var derfor ikke en generel fejl hos NemID, og derfor berørte fejlen kun et mindre antal brugere, lyder det.
Login beskytter ikke nødvendigvis data
Datatilsynet blev bekendt med sikkerhedsproblemet i april sidste år, hvorefter myndigheden indledte en undersøgelse af egen drift.
Datamyndigheden tilføjer i meddelelsen, at login i udgangspunktet ikke beskytter data, hvis det er sat forkert op.
"Afgørelsen illustrerer blandt andet, at login – uanset at det er med NemID – ikke beskytter data, hvis rettighederne, som brugeren får efter login, ikke er korrekte," tilføjer Datatilsynet.