Datatilsynet har truffet afgørelse i en sag, hvor et medlem af Joga klagede over, at password til login på Jogas side og app var klagers fødselsdato, og at der ikke var begrænsninger på antal loginforsøg.
Datatilsynet fandt, at Joga – ved ikke at have lavet begrænsninger på forgæves loginforsøg, og ved at bruge medlemmernes fødselsdato som et password, der ikke kunne udskiftes – ikke havde truffet passende sikkerhedsforanstaltninger.
Ved vurderingen lagde Datatilsynet vægt på, at kendte eller lettilgængelige oplysninger, f.eks. en fødselsdato, alene bør bruges som et indledende password, som efterfølgende skal ændres.
Datatilsynet lagde desuden vægt på, at de utilstrækkelige sikkerhedsforanstaltninger gjorde det muligt for uvedkommende at opnå adgang til medlemmernes personoplysninger.
Datatilsynet udsteder et påbud
Datatilsynet udtalte på den baggrund kritik af, at Jogas behandling af personoplysninger ikke var sket i overensstemmelse med reglerne om behandlingssikkerhed.
Datatilsynet gav endvidere Joga et påbud om at bringe behandlingen af personoplysninger i overensstemmelse med databeskyttelsesreglerne, ved at Jogas nuværende og nye medlemmer ved første login tvinges til at ændre deres passwords til et fornødent sikkert password, hvor der stilles krav til kodens kompleksitet.
Joga har den 13. oktober 2021 oplyst, at de har efterkommet påbuddet.
Du kan læse afgørelsen her.
Du kan også læse mere om behandlingssikkerhed her.