Datatilsynet blev i marts 2021 gjort bekendt med, at det var muligt at tilgå en andens brugers profil ved login på e-Boks Express. Datatilsynet startede derfor i april 2021 en sag af egendrift over for e-Boks.

E-boks Express er en selvbetjeningsportal, hvor virksomheder kan sende beskeder og dokumenter.

En fejl i Nets' opsætning af brugervalideringen af NemID medførte, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne der blive etableret adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter i e-Boks Express.

E-Boks gjorde gældende, at NemID anvendes i e-Boks Express for at sikre, at kun de personer, der er autoriseret af afsendervirksomheden, har adgang til e-Boks Express.

Datatilsynet udtalte kritik af, at e-Boks ikke havde levet op til kravet om passende sikkerhedsforanstaltninger, fordi e-Boks ikke havde testet alle relevante brugsscenarier ved login i e-Boks Express.

Datatilsynet udtalte i den forbindelse, at et login bruges til at identificere brugeren, som anvender it-løsningen – i dette tilfælde e-Boks Express.

Efter login skal de rettigheder, en bruger får afledt, sikre, at adgangen til data er netop det, denne bruger må have adgang til. E-Boks burde således have opdaget ved test, at e-Boks Express gav adgang til andre brugeres data, selv om brugeridentificeringen fejlede.

Afgørelsen illustrerer bl.a., at login – uanset at det er med NemID – ikke beskytter data, hvis rettighederne, brugeren får efter login, ikke er korrekte.