Utilstrækkelig sikkerhed på kundeprofiler hos T. Hansen

Sagen kort 

Kritikken fra Datatilsynet kommer på baggrund af en henvendelse fra en tidligere kunde, der havde haft en kundeprofil hos T. Hansen.

Kundenummeret, som var tilknyttet kundens profil, var identisk med kundens telefonnummer, og da kunden således senere skiftede telefonnummer, var der en anden person, der overtog kundens telefonnummer. Da denne person efterfølgende foretog et køb hos T. Hansen, og i den forbindelse oplyste sit telefonnummer, blev de to personers oplysninger blandet sammen på den tidligere kundes profil.   Derudover fik personen, der havde fået den tidligere kundes telefonnummer, også adgang til den tidligere kundes personoplysninger på brugerprofilen, dvs. navn, adresse, telefonnummer, e-mailadresse og fakturaer samt adgang til at få tilsendt den tidligere kundes password i klartekst.

Datatilsynets kritik

Ifølge Datatilsynet lever dette profil-system ikke op til kravene i GDPR (persondataforordningen) om passende sikkerhedsforanstaltninger. Virksomheden burde f.eks. have taget højde for, at brugerprofiler kunne blive sammenblandet, når telefonnumre overgik til andre personer.  

Datatilsynet kritiserer desuden, at T. Hansen havde opbevaret brugeres passwords i klartekst uden irreversibel kryptering. Hertil at brugere kunne få tilsendt passwords i klartekst til en angivet e-mailadresse, uden T. Hansen havde foretaget en risikovurdering af denne proces.  

Datatilsynet giver derfor virksomheden påbud om fremadrettet at anvende kryptering af alle passwords, så de ikke kan opbevares eller gendannes i klartekst.  

Datatilsynet gør ligeledes opmærksom på, at den mulige uautoriserede adgang til personoplysninger udgør et brud på persondatasikkerheden, hvilket burde være blevet anmeldt til Datatilsynet. Datatilsynet indskærper derfor desuden, at T. Hansen fremover skal anmelde lignende sikkerhedsbrud til Datatilsynet.  

Du kan læse hele sagen her: Utilstrækkelige sikkerhedsforanstaltninger hos T. Hansen.

Generelle råd om hjemmesider og sikkerhed

Hvis du har en webshop eller hjemmeside, hvor der indsamles og behandles persondata f.eks. igennem kundeprofiler, skal du sikre, at den er beskyttet med tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger.  

De tekniske sikkerhedsforanstaltninger er de systemer, der beskytter webshoppen eller hjemmesiden imod hacking, datatyveri, datatabrud osv. Det kan være certifikater, antimalwaresystemer, overvågning, backup osv.  

De organisatoriske sikkerhedsforanstaltninger er de regler (politikker), procedurer og kontroller der beskriver, hvordan webshoppen eller hjemmesiden skal beskyttes, og hvordan lovmæssige krav i databeskyttelsesforordningen (GDPR) og persondataloven overholdes. Risikostyring indgår også ofte som en del af de organisatoriske sikkerhedsforanstaltninger.

Foruden de tekniske- og organisatoriske sikkerhedsforanstaltninger skal webshoppen eller hjemmesiden være designet ud fra principperne om ’privacy by design’. Det betyder bl.a., at kundeprofiler skal være sikret på en sådan måde, at de ikke kan sammenblandes, uanset om de anvender mobilnummer eller e-mail som brugernavn.

T. Hansens webshop har med stor sandsynlighed ikke være designet ud fra dette princip.

Du kan læse mere om ’privacy by design’ her.

I relation til passwords er det vigtigt, at de altid opbevares med irreversibel kryptering (også kaldet ’hashing’). Det betyder i praksis, at en hacker ikke kan læse brugernes passwords, hvis de får adgang til webshoppen eller hjemmesidens brugerdatabase, da de ikke er gemt i klartekst (cleartext).

Hvis en bruger glemmer sit password, så bør systemet sende et link til en ’glemt password’ funktion, hvor brugeren kan oprette et nyt. På den måde undgår man at sende passwords i klartekst.

T. Hansens webshop har heller ikke her været sikret på en passende måde.

Risikovurdering er et effektivt værktøj

Man bør altid anvende en risikobaseret tilgang til beskyttelse af persondata. Det gør det nemmere at evaluere og prioritere de organisatoriske- og tekniske sikkerhedsforanstaltninger, der skal beskytte webshoppen eller hjemmesiden.

Du kan læse mere om risikovurderinger her.

Brud på persondatasikkerheden

Såfremt der skulle ske brud på persondatasikkerheden, f.eks. uautoriseret adgang til en brugerprofil, skal dette anmeldes til Datatilsynet uden unødig forsinkelse, og om muligt inden for 72 timer efter, at du som dataansvarlig er gjort bekendt med databruddet.  

Du kan læse flere generelle råd om sikkerhedsforanstaltninger her.

Artiklen er skrevet i samarbejde med Ulrik Holm Nielsen, CEO, e-ducators.