Afgørelse vedr. sikkerhedsbrist i mikrobetalingssystem
28.11.02
På baggrund af en konkret henvendelse fra en borger i oktober måned 2002 om tidligere sikkerhedsbrister i mikrobetalingssystemet Valus har Datatilsynet vurderet sagen efter at have indhentet en nærmere redegørelse fra Den norske Bank, som er dataansvarlig for Valus.
Kort tid efter åbningen af Valus den 22. maj 2002 blev der på internettet publiceret et link, som ved et enkelt tryk kunne få Valus' informationssystem til at gå ned. Dette fremgik bl.a. af ovennævnte henvendelse til Datatilsynet og af presseomtale i forbindelse med åbningen af Valus. Det nævnte angreb rettede sig mod Valus' informationssider. Disse sider indeholder ikke personoplysninger og er derfor ikke omfattet af persondataloven. Det ligger derfor uden for Datatilsynets kompetence at tage stilling til angreb mod disse sider.
For så vidt angår adgang til personoplysninger har Datatilsynet konstateret, at der i Valus' betalingssystem i en kort periode den 22. maj 2002 har der været adgang for uvedkommende til et begrænset antal testtransaktioner samt betalingstransaktioner, som var anonyme for den uvedkommende læser. I denne sammenhæng har Datatilsynet vurderet, at der ikke i overensstemmelse med persondatalovens § 41, stk. 3, har været truffet de fornødne foranstaltninger mod, at oplysninger kunne komme til uvedkommendes kendskab.
Under hensyn til konsekvensen og omfanget af den konstaterede brist og bankens håndtering af de nævnte hændelser har Datatilsynet efter en samlet vurdering ikke fundet grundlag for at udtale kritik af Den norske Bank. Datatilsynet vil derfor ikke foretage sig yderligere i sagen.