En bruger af portalen GoMentor meldte et sikkerhedhul til Datatilsynet, da hun kunne få adgang til andre brugeres data.
Men Datatilsynet kendte til lækket i knap tre måneder uden at sige noget til virksomheden bag portalen.
Det skriver Version2.
"Vi skulle selv overveje vores oplysningspligt, dengang vi fik sagen, og der spurgte vi os selv, om vi skulle underrette GoMentor, og det valgte vi så ikke at gøre, fordi det ville selvfølgelig gå ind og spolere efterforskningen af sagen, hvis vi fortalte dem, at vi har en mistanke om, at der er et stort sikkerhedsbrud på deres hjemmeside," siger Jesper Vang, tilsynschef hos Datatilsynet, til Version2.
Datatilsynet har meldt GoMentor til politiet, der skal hjælpe myndigheden med at efterforske sagen.
Bøde på mere end tre millioner kroner
Sikkerhedshullet er et af de mest alvorlige sager af brud på persondataloven, der har været fremme i offentligheden siden GDPR trådte i kraft 25. maj.
Det fik Hanne Marie Motzfeldt til at vurdere, at GoMentor kan få en bøde på over tre millioner kroner.
“Det kan meget vel vise sig at blive en sag om et lovende nyt digitalt marked, der forsvandt. Bøden skal derfor i mine øjne højere op, end både den der givet i Tyskland og i Portugal,” sagde Hanne Marie Motzfeldt til Computerworld.
Bøden i Portugal gik til et hospital, der skulle betale omkring tre millioner kroner for at give administratorrettigheder til for mange medarbejdere.