Det er foreløbig uvist, hvor mange danskere, der faktisk endte med at klikke rundt i fremmede danskeres oplysninger, da postkassen Mit.dk måtte hastelukke kort efter lanceringen om morgenen den 21. marts.

Men nu afslører anmeldelsen til Datatilsynet, at hullet endte med at stå åbent i en time og 13 minutter, fra klokken 8.02 til klokken 9:15 mandag den 21. marts, hvor den tekniske fejl betød, at op mod 2.182 danskere potentielt kunne have adgang til privat post fra skønsmæssigt 50 andre danskere på postkassen mit.dk.

Det fremgår af den anmeldelse, som Netcompany i forrige uge afleverede til Datatilsynet, og som ITWatch har fået aktindsigt i.

”Ud af de 2.182 borgere som loggede på, har 1.356 borgere nået at åbne mindst ét dokument,” skriver selskabet blandt andet.

Da anmeldelsen blev indgivet, herskede der dog fortsat usikkerhed om, hvor mange der reelt var berørt af den tekniske fejl, som betød, at danskere, der loggede ind på Mit.dk, havnede i andre danskeres indbakke.

Selskabet vurderer nu, at det var et fåtal.

Men døren ind til de potentielt meget følsomme oplysninger stod åben, skriver selskabet.

”I de tilfælde, hvor login ikke blev afbrudt, har de angivne borgere både haft adgang til at se afsendere af og emnefelterne på en anden borgers digitale post. Potentielt har borgeren også kunne åbne den digitale post og gøre sig bekendt med indholdet heraf,” skriver selskabet i anmeldelsen.

Festdag endte hektisk

Aktindsigten beskriver en morgen, hvor det, der skulle have været en festdag for Netcompany, endte med at være et hektisk forløb, hvor Digitaliseringsstyrelsen og Netcompanys egne folk reagerede hurtigt - men ikke hurtigt nok til at forhindre, at nogle af de mest private beskeder fra de skønsmæssigt op mod 50 danskere pludselig blev tilgængelige for udenforstående.

Officielt skulle mit.dk være åbnet kl. 9. Men allerede klokken 8.02 slog postkassen dørene op for danskerne.

Netcompanys postkasse Mit.dk er en såkaldt visningsklient, der viser digital post fra det offentlige via en bagvedliggende infrastruktur, som Netcompany også har leveret. I Mit.dk kan man - ligesom hos E-boks – se dokumenter fra sundhedsvæsenet, kommunen eller andre offentlige myndigheder, eksempelvis politiet, samt fra private virksomheder, som Netcompany har indgået aftale med.

Det er virksomheder som Visma Dataløn, IF forsikring og HK og mange andre.

Men lanceringen gik skævt, da systemet pludselig skulle håndtere en stor mængde logins samtidig:

”Den 21. marts 2022 kl. 08:55 blev Netcompany gjort opmærksom på, at en bruger af mit.dk (en Netcompany ansat) ved en fejl havde adgang til en anden brugers kontaktoplysninger (e-mail og telefonnummer) i forbindelse med den indledende brugerregistrering. Få minutter efter modtog Netcompany også en orientering fra en medarbejder fra Digitaliseringsstyrelsen som kunne oplyse, at medarbejderen havde kunnet tilgå og læse en anden borgers offentlige digitale post,” står der i dokumenterne.

Herefter reagerede selskabet hurtigt, og klokken 9.15 var der lukket ned for både webadgang og app. En nedlukning, der skulle vise sig at vare helt frem til onsdagen efter, hvor postkassen kunne genåbne. Det skete først onsdag d. 23 marts kl. 13:20

Imens arbejdede Netcompany på højtryk for at få lokaliseret fejlen og genåbnet postkassen.

Fordi løsningen består af to dele - dels en infrastruktur, som er leveret til Digitaliseringsstyrelsen (Den såkaldte NgDP eller Next Generation Digital Post), og dels Netcompanys egen postkasse mit.dk, var lanceringen en bredt kommunikeret begivenhed, hvorfor også den pludselige og langvarige nedlukning trak massiv medieomtale.

Alvorlig situation

Men også internt hos Netcompany så man på situationen med største alvor:

”Underretning af de berørte borgere er topprioritet og vil ske så snart det er muligt at identificere de specifikke berørte borgere,” skriver selskabet. Her angiver man, at 8. april er sidste frist for at advisere de berørte borgere.

ITWatch har tidligere mandag spurgt Netcompany, om fristen kan holdes.

Selskabet svarer via sin presseafdeling:

”Vi er fortsat i gang med vores dataanalyser, og i det omfang, vi kan finde ud af, hvilke postkasser, der har været berørt, vil vi tage fat i de pågældende. Som det fremgår i rapporten til Datatilsynet, har Netcompany i alt modtaget fem henvendelser i forbindelse med hændelsen, hvilket giver os en klar indikation på, at antallet er i den lave ende.”

Når der er usikkerhed omkring antallet af berørte danskere, skyldes det, at Netcompany er på jagt i logfiler fra den hektiske morgen for, hvor mange der loggede ind og endte i en anden persons indbakke. Her har nogle brugere hurtigt lokaliseret, at de var endt det forkerte sted og valgte at logge ud igen. Andre er endt med at klikke rundt og har således kunnet se andres private oplysninger fra offentlige myndigheder.

Meget følsomme oplysninger

Heraf er nogle harmløse - eksempelvis masseudsendte beskeder fra Skat om årsopgørelsen. Men andre er mere pikante - eksempelvis bøder, domme, oplysninger om børn eller indkaldelser til undersøgelser på hospitalet.

”Vi ved med sikkerhed, at 2.182 borgere nåede i alt at logge på mit.dk. Netcompany ved allerede med sikkerhed, at størstedelen af dem er ikke berørt af hændelsen ud fra vores indledende analyser, gennemgang af logs og indrapporteringer,” skriver selskabet.

”Det er derfor vores skøn, at det reelle antal berørte borgere ligger mellem 10 – 50 og er for de situationer, hvor deres digitale post er gjort tilgængelig for en eller flere andre brugere,” skriver selskabet, der i sin anmeldelse til Datatilsynet selv understreger, at der kan være tale om yderst følsomme dokumenter.

”Netcompany tilgår ikke borgeres digitale post, hvorfor det ikke er muligt at komme nærmere ind på de omfattede typer, men potentielt vil det også være følsomme personoplysninger og oplysninger om straffedomme og lovovertrædelser”

Postkassen mit.dk blev tilgængelig igen den 23. marts kl. 13:20 efter næsten 54 timers lukning.

Netcompany holder fast i at kun få brugere har fået adgang til andres postkasser

Netcompany beklager fejl: Mellem 10 og 50 borgere fik delt oplysninger på Mit.dk

Medie: Digitaliseringsstyrelsen forbød Netcompany at genåbne mit.dk