Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Utilstrækkelig sikkerhed på kundeprofiler hos T. Hansen

WTC advokaterne
16/12/2021
Utilstrækkelig sikkerhed på kundeprofiler hos T. Hansen
WTC advokaterne logo
I en ny afgørelse udtaler Datatilsynet alvorlig kritik af sikkerheden omkring kundeprofiler hos T. Hansen Gruppen A/S og udsteder samtidig påbud om kryptering af kundernes passwords.

Sagen kort 

Kritikken fra Datatilsynet kommer på baggrund af en henvendelse fra en tidligere kunde, der havde haft en kundeprofil hos T. Hansen.


Kundenummeret, som var tilknyttet kundens profil, var identisk med kundens telefonnummer, og da kunden således senere skiftede telefonnummer, var der en anden person, der overtog kundens telefonnummer. Da denne person efterfølgende foretog et køb hos T. Hansen, og i den forbindelse oplyste sit telefonnummer, blev de to personers oplysninger blandet sammen på den tidligere kundes profil.   Derudover fik personen, der havde fået den tidligere kundes telefonnummer, også adgang til den tidligere kundes personoplysninger på brugerprofilen, dvs. navn, adresse, telefonnummer, e-mailadresse og fakturaer samt adgang til at få tilsendt den tidligere kundes password i klartekst.


Datatilsynets kritik

Ifølge Datatilsynet lever dette profil-system ikke op til kravene i GDPR (persondataforordningen) om passende sikkerhedsforanstaltninger. Virksomheden burde f.eks. have taget højde for, at brugerprofiler kunne blive sammenblandet, når telefonnumre overgik til andre personer.  


Datatilsynet kritiserer desuden, at T. Hansen havde opbevaret brugeres passwords i klartekst uden irreversibel kryptering. Hertil at brugere kunne få tilsendt passwords i klartekst til en angivet e-mailadresse, uden T. Hansen havde foretaget en risikovurdering af denne proces.  


Datatilsynet giver derfor virksomheden påbud om fremadrettet at anvende kryptering af alle passwords, så de ikke kan opbevares eller gendannes i klartekst.  


Datatilsynet gør ligeledes opmærksom på, at den mulige uautoriserede adgang til personoplysninger udgør et brud på persondatasikkerheden, hvilket burde være blevet anmeldt til Datatilsynet. Datatilsynet indskærper derfor desuden, at T. Hansen fremover skal anmelde lignende sikkerhedsbrud til Datatilsynet.  


Du kan læse hele sagen her: Utilstrækkelige sikkerhedsforanstaltninger hos T. Hansen.


Generelle råd om hjemmesider og sikkerhed

Hvis du har en webshop eller hjemmeside, hvor der indsamles og behandles persondata f.eks. igennem kundeprofiler, skal du sikre, at den er beskyttet med tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger.  


De tekniske sikkerhedsforanstaltninger er de systemer, der beskytter webshoppen eller hjemmesiden imod hacking, datatyveri, datatabrud osv. Det kan være certifikater, antimalwaresystemer, overvågning, backup osv.  


De organisatoriske sikkerhedsforanstaltninger er de regler (politikker), procedurer og kontroller der beskriver, hvordan webshoppen eller hjemmesiden skal beskyttes, og hvordan lovmæssige krav i databeskyttelsesforordningen (GDPR) og persondataloven overholdes. Risikostyring indgår også ofte som en del af de organisatoriske sikkerhedsforanstaltninger.


Foruden de tekniske- og organisatoriske sikkerhedsforanstaltninger skal webshoppen eller hjemmesiden være designet ud fra principperne om ’privacy by design’. Det betyder bl.a., at kundeprofiler skal være sikret på en sådan måde, at de ikke kan sammenblandes, uanset om de anvender mobilnummer eller e-mail som brugernavn.


T. Hansens webshop har med stor sandsynlighed ikke være designet ud fra dette princip.


Du kan læse mere om ’privacy by design’ her.


I relation til passwords er det vigtigt, at de altid opbevares med irreversibel kryptering (også kaldet ’hashing’). Det betyder i praksis, at en hacker ikke kan læse brugernes passwords, hvis de får adgang til webshoppen eller hjemmesidens brugerdatabase, da de ikke er gemt i klartekst (cleartext).


Hvis en bruger glemmer sit password, så bør systemet sende et link til en ’glemt password’ funktion, hvor brugeren kan oprette et nyt. På den måde undgår man at sende passwords i klartekst.


T. Hansens webshop har heller ikke her været sikret på en passende måde.


Risikovurdering er et effektivt værktøj

Man bør altid anvende en risikobaseret tilgang til beskyttelse af persondata. Det gør det nemmere at evaluere og prioritere de organisatoriske- og tekniske sikkerhedsforanstaltninger, der skal beskytte webshoppen eller hjemmesiden.


Du kan læse mere om risikovurderinger her.


Brud på persondatasikkerheden

Såfremt der skulle ske brud på persondatasikkerheden, f.eks. uautoriseret adgang til en brugerprofil, skal dette anmeldes til Datatilsynet uden unødig forsinkelse, og om muligt inden for 72 timer efter, at du som dataansvarlig er gjort bekendt med databruddet.  


Du kan læse flere generelle råd om sikkerhedsforanstaltninger her.

Artiklen er skrevet i samarbejde med Ulrik Holm Nielsen, CEO, e-ducators.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted