Brud på persondatasikkerheden hos nemlig.com A/S

Journalnummer: 2019-441-1578

Resume

Datatilsynet har samlet behandlet to relaterede sager om brud på persondatasikkerheden (se afgørelsen i den anden sag her). I begge sager havde de dataansvarlige vurderet, at der ikke skulle ske underretning af de registrerede. Oplysningerne var primært navn, kontakt- og adresseoplysninger samt købshistorik.

Da der var tale om et betydeligt antal registrerede (mere end 250.000), og da de dataansvarlige ikke havde vurderet risikoen særskilt for den delmængde af de registrerede, der måtte have hemmelig eller udeladt adresse, foretog Datatilsynet en vurdering af risikoen for denne gruppe af registrerede. Da tilsynet vurderede risikoen for disse registrerede som værende høj, pålagde Datatilsynet de dataansvarlige at underrette de registrerede, der måtte have hemmelig eller udeladt adresse.

Afgørelsen fastslår, at der selv i ellers homogene behandlinger af oplysninger, som generelt ikke har en høj risikoprofil, kan være forhold for den enkelte registrerede, der indebærer en høj risiko. Den risikovurdering, der foretages af den dataansvarlige – for om der skal ske underretning – skal afspejle sådanne individuelle forhold.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Nemlig.com A/S (herefter "Nemlig") den 21. januar 2019 har anmeldt et brud på persondatasikkerheden til Datatilsynet.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet grundlag for at meddele Nemlig påbud om at underrette de registrerede, som kan have en hemmelig eller udeladt adresse. Påbuddet gives i medfør af databeskyttelsesforordningens^[1] artikel 58, stk. 2, litra e.

Indholdet i underretningen skal opfylde kravene i databeskyttelsesforordningens artikel 34, og dermed i et klart sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b, c og d.

Fristen for efterlevelse af påbuddet er den 7. januar 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet, sammen med en anonymiseret udgave af underretningen. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at der ikke har været etableret tilstrækkelig adgangskontrol på en webbaseret rapportservice, så ordreoplysninger om kunder har været tilgængelige på internettet. Det drejer sig om ca. 250.000 kunder hos Nemlig. Idet anmeldelsen af bruddet på persondatasikkerheden er foretaget af Nemlig og henset til de øvrige oplysninger i sagen – særligt at Nemlig bestemmer behandlingens formål og midler – anses Nemlig for at være dataansvarlig.

Nemlig har oplyst, at ved at gå ind på http://xxx.xxx.xxx.xxx og vælge 'Find Box From Order', og indtaste gyldigt ordrenummer, var der adgang til den konkrete kundes navn, adresse, kundenummer og indholdet i den pågældende ordre. Funktionaliteten var ikke tilgængelig fra nemlig.coms hovedsider.

På Datatilsynets forespørgsel angående en eventuel behandling af hemmelige adresser, har Nemlig oplyst, at en leveringsadresse er en absolut nødvendighed for levering af varer hos kunderne. Nemlig registrerer ikke, om en adresse er hemmelig, idet det er irrelevant. På den baggrund har risikovurderingen ikke indeholdt vurdering af, om hemmelige adresser var inkluderet.

Nemlig har oplyst, at for at få en gyldig ordre frem, skal man have kendskab til, hvordan et gyldigt ordrenummer ser ud, kende til antal cifre i tallet, og vide hvilke nummerserier der er gyldige. Uden dette fremkommer ingen data. Der er ingen felter eller andet, hvoraf man kan udlede oplysninger om formatet af ordrenumre. Det var muligt at prøve sig frem, indtil man ramte et validt ordrenummer.

Endvidere har Nemlig oplyst, at på tidspunktet for hændelsen var der server-logs tilgængelig 7 dage tilbage, og disse blev anvendt til at konstatere, at der i perioden ikke var nogen uautoriseret adgang til kundedata på webserveren.

Oprydning efter bruddet bestod ifølge Nemlig af en stramning af firewall-reglerne, således at der ikke længere var adgang til webserveren udefra.

Det fremgår af Nemligs anmeldelse af bruddet, at de berørte registrerede ikke vil blive underrettet, og begrundelsen for dette er:

• Bruddet indebærer ikke en høj risiko for de berørte personers rettigheder eller frihedsrettigheder.
• Der er implementeret tilstrækkelige tekniske- og organisatoriske sikkerhedsforanstaltninger for at afhjælpe hændelsen.
• Foranstaltninger som er truffet af den dataansvarlige, og som berettiger manglende underretning af de berørte personer er: Sikring af, at al ekstern adgang til servicen ikke længere er mulig, samt test og validering af interne adgange.

Det fremgår af sagen, at der den 24. januar 2019 er udført en vurdering af, hvorvidt Nemlig er forpligtet til at underrette de registrerede i medfør af databeskyttelsesforordningens artikel 34. Vurderingen er udført af Bech-Bruun Advokatpartnerselskab, og af denne fremgår følgende:

Faktum

Der henvises til dokumentationsskemaerne for sikkerhedsbruddet bilag 3 og 4 (sendt til X den 21. januar 2019), der er vedlagt denne vurdering, og som er lagt til grund for vurderingen, herunder at den interne adgang til den webbaserede rapportservice er blevet endeligt lukket senest tirsdag den 22. januar 2019.

Pligt til underretning af de registrerede (kunder) i medfør af GDPR art. 34?

Det følger af GDPR art. 34, at Nemlig og Intervare som dataansvarlige i tilfælde af sikkerhedsbrud er forpligtet til at underrette de registrerede (kunderne), hvis sikkerhedsbruddet sandsynligvis vil indebære en høj risiko for de registreredes (kundernes) rettigheder og frihedsrettigheder. Henset til at:

1. alene almindelige personoplysninger (og ikke følsomme personoplysninger) som navn, adresse og varekøb på den specifikke ordre – og alene ved indtastning af et specifikt ordrenr., som man i givet fald skal gætte sig til eller på anden måde komme i besiddelse af – har været tilgængelige,
2. Nemlig og Intervare ikke har konstateret, at der har været en usædvanlig trafik på den webbaserede rapportservice,

3. Nemlig og Intervare ikke via log eller på anden måde har konstateret, at adgangen til webservicen har været anvendt uautoriseret,

4. Ingen af de registrerede har meddelt Nemlig og/eller Intervare, at de har oplevet, at deres rettigheder eller frihedsrettigheder ikke har været krænket i den periode, hvor den uautoriserede adgang har været mulig,

5. Der ikke er en indikation af, at sikkerhedsbruddet har haft konsekvenser for de registrerede,

6. Det i konsekvens af ovenstående ikke er sandsynligt, at den uautoriserede adgang har været anvendt, og at der i øvrigt ikke har været en høj risiko for kundernes rettigheder og frihedsrettigheder, og

7. Nemlig og Intervare umiddelbart efter at have konstateret sikkerhedsbruddet har truffet de nødvendige organisatoriske og tekniske foranstaltninger (der er lukket for ekstern adgang på firewall, og der er etableret adgangskontrol på den enkelte rapport service), jf. GDPR art. 34, 3 (b),

er det vores vurdering, at Nemlig og Intervare ikke er forpligtet til at underrette de registrerede i medfør af GDPR art. 34, 1.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger som følge af anmeldelsen fra Nemlig til grund, at der er sket et brud på persondatasikkerheden.

Datatilsynet finder ikke, at der er udført en vurdering i henhold til databeskyttelsesforordningens artikel 34, stk. 1, af risikoen for de registreredes rettigheder. Datatilsynet har herved lagt vægt på især følgende.

Det fremgår ikke, at Nemlig har vurderet risikoen ved, at de enkelte adresser kunne være hemmelige/beskyttede. Hemmelige/beskyttede adresser udgør efter Datatilsynet opfattelse fortrolige personoplysninger, og en utilsigtet eksponering af sådanne oplysninger kan potentielt have alvorlige konsekvenser for de registreredes rettigheder. Givet det høje antal registrerede, er det Datatilsynets opfattelse, at sikkerhedsbruddet med høj sandsynlighed har berørt nogen, hvor eksponering af deres adresse kunne have en høj konsekvens, og dermed er det Datatilsynets opfattelse, at bruddet udgør en høj risiko for disse registrerede.

Nemligs risikovurdering lægger vægt på, at der ikke er konstateret usædvanlig trafik eller uautoriseret anvendelse af adgangen. Der henvises i den forbindelse til en log. Datatilsynet forstår omstændighederne således, at loggen kun viser anvendelser af adgangen i de sidste 7 dage. Datatilsynet finder ikke, at 7 dages log – ud over den ene uge – på nogen måde kan underbygge, om der har været foretaget uautoriseret adgang til oplysningerne, som har været tilgængelige via internettet fra 2016 til januar 2019.

Datatilsynet finder ikke, at formatet på internetadressen (URL) er så unikt, at dette i sig selv giver nogen beskyttelse imod uautoriseret anvendelse. Tilsynet finder endvidere ikke, at manglende kendskab til formatet på et gyldigt ordrenummer giver nogen beskyttelse, idet det var muligt at prøve sig frem uden begrænsninger i antal forsøg. Endvidere vil flere ordrer pr. kunde og over en kvart million kunder (Nemligs og Intervares kunder sammenlagt) indebære mange muligheder for at ramme rigtigt på gæt af et ti-cifret ordrenummer.

Internetadressen (URL), som kunne anvendes fra internettet (http://xxx.xxx.xxx.xxx), angiver ikke i sig selv, om transmissionen af personoplysningerne skete med eller uden anvendelse af kryptering. Datatilsynet finder, at et sådant aspekt burde have indgået i risikovurderingen, når bruddet indbefatter mulig transmission af fortrolige personoplysninger over internettet – herunder ved medarbejderes autoriserede anvendelse af den webbaserede rapportservice.

Nemligs risikovurdering lægger vægt på, at ingen af de registrerede har meddelt Nemlig og/eller Intervare, at de har oplevet, at deres rettigheder eller frihedsrettigheder ikke har været krænket i den periode, hvor den uautoriserede adgang har været mulig. Datatilsynet lægger til grund, at dette er en skrivefejl, og der menes, at ingen af de registrerede har oplyst, at deres rettigheder har været krænket i den periode, hvor bruddet stod på.

Nemlig kan imidlertid ikke forvente, at en registreret, der oplever misbrug af oplysninger om en hemmelig adresse, nødvendigvis vil kunne knytte dette til specifikt Nemligs behandling af adressen. Adressen kan være registreret hos flere private virksomheder og offentlige myndigheder. Endvidere kan kunden ikke nødvendigvis huske, at Nemlig er i besiddelse af adressen, f.eks. hvis kunden ikke har handlet hos Nemlig siden 2016. Endelig kan oplysninger om adresser være hentet af uvedkommende med henblik på misbrug på et meget senere tidspunkt.

Nemlig har oplyst, at de registrerede ikke vil blive underrettet, og dette begrundes med foranstaltninger, der angår lukning af den uautoriserede adgang. Dette gentages i risikovurderingen, hvor der også henvises til databeskyttelsesforordningens artikel 34, stk. 3, litra b.

Datatilsynet skal hertil bemærke, at artikel 34, stk. 3, peger på de registrerede, som omhandlet i stk. 1, og det omhandler de registrerede, for hvem bruddet indebærer en risiko. Det primære formål med at underrette personer om sikkerhedsbrud er at give dem specifikke oplysninger om, hvilke forholdsregler de bør træffe for at beskytte sig selv mod potentielle konsekvenser ved bruddet.[2]

Risikovurderingen skal angå de registrerede, som er berørt af bruddet. De beskrevne foranstaltninger gennemført af Nemlig virker kun fremadrettet, og vil derfor ikke ændre på den risiko, bruddet allerede har udgjort i en årrække, og stadig kan udgøre for de registrerede, som er berørt af bruddet. Såfremt nogle af de registrerede personoplysninger er kommet til uvedkommendes kendskab, består risikoen således uændret af de beskrevne foranstaltninger, og foranstaltningerne gør ikke, at den høje risiko for de registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere er reel.

Datatilsynet finder ikke, at Nemlig kan undlade underretning af de registrerede med reference til artikel 34, stk. 3, litra b, idet betingelserne ikke ses at være opfyldt.

På baggrund af ovenstående finder Datatilsynet, at Nemlig skal have udført en ny vurdering af de risici, som bruddet på persondatasikkerheden udgør for de registreredes rettigheder og frihedsrettigheder.

Idet Nemlig ikke allerede har underrettet de registrerede om bruddet på persondatasikkerheden, har Datatilsynet ud fra de beskrevne omstændigheder i sagen, overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, jf. databeskyttelsesforordningens artikel 34, stk. 4. Tilsynet har på den baggrund valgt at give den dataansvarlige nemlig.com A/S påbud, jf. artikel 58, stk. 2, litra e, om at underrette de berørte registrerede, som kan have en hemmelig eller udeladt adresse. Såfremt registrerede med hemmelig/udeladt adresse ikke kan identificeres, underrettes samtlige berørte registrerede (ca. 250.000).

Underretningen skal opfylde kravene i databeskyttelsesforordningens artikel 34, og dermed i et klart sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b, c og d. Det indebærer blandt andet, at såfremt der kan være sket transmission af fortrolige personoplysninger over internettet uden anvendelse af kryptering, skal dette indgå som en del af beskrivelsen af karakteren af bruddet.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]Se databeskyttelsesforordningens præampelbetragtning 86 og Artikel 29-gruppens "Retningslinjer om anmeldelse af brud på persondatasikkerheden i henhold til forordning 2016/679" (WP250 rev.01).