Utilstrækkelige sikkerhedsforanstaltninger hos T. Hansen

Dato: 15-11-2021
Afgørelse Private virksomheder Kritik Påbud Klage Anmeldelse af brud på persondatasikkerheden Behandlingssikkerhed Password Uautoriseret adgang

Datatilsynet har udtalt kritik af, at kundeprofiler hos T. Hansen ikke har haft passende sikkerhedsforanstaltninger - og har givet virksomheden et påbud om kryptering af kundernes passwords.

Journalnummer: 2021-31-4596.

Resume

En kunde hos T. Hansen Gruppen A/S har klaget til Datatilsynet over, at virksomheden ikke har haft passende sikkerhedsforanstaltninger. 

Klageren i sagen har haft en kundeprofil, hvor kundenummeret har været enslydende med klagers telefonnummer. Klager udskiftede på et tidspunkt sit telefonnummer, mens en uvedkommende person for klager overtog klagers tidligere telefonnummer. Da den uvedkommende person herefter foretog køb hos T. Hansen, blev klagers og personens oplysninger sammenlagt på klagers kundeprofil. Den uvedkommende person har i en periode haft adgang til klagers oplysninger og adgang til at få tilsendt klagers password i klartekst.

Datatilsynet udtalte kritik af, at T. Hansen ikke har levet op til kravene i databeskyttelsesforordningen om passende sikkerhedsforanstaltninger og anmeldelse af brud på persondatasikkerheden.

Dette begrundede Datatilsynet med, at T. Hansen ved udvikling af sit system ikke havde taget højde for, at kunders oplysninger kan risikere at blive sammenlagt, eksempelvis som følge af, at et telefonnummer overgår fra en person til en anden.

Det er Datatilsynets opfattelse, at genbrug af telefonnumre er et normalt forekommende og forventeligt scenarie, hvorfor det skulle have indgået ved fastlæggelsen af de relevante sikkerhedsforanstaltninger.

Datatilsynet har derudover lagt vægt på, at T. Hansen i sit system har opbevaret brugernes selvvalgte passwords i klartekst uden en anerkendt algoritme til en irreversibel kryptering heraf, og at T. Hansen har haft en funktion, hvor brugere har kunnet få tilsendt passwords i klartekst til brugerens angivne e-mailadresse efter anmodning, uagtet at T. Hansen ikke har foretaget en risikovurdering.

På den baggrund har Datatilsynet givet T. Hansen et påbud om at anvende en anerkendt algoritme til kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gendannes i klartekst. T. Hansen har den 4. november 2021 oplyst, at de har efterkommet påbuddet.

1. Afgørelse 

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at T. Hansen Gruppen A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1, og artikel 33, stk. 1.

Datatilsynet finder endvidere grundlag for at meddele T. Hansen Gruppen A/S påbud om – i det omfang T. Hansen Gruppen A/S stadig opbevarer passwords i klartekst – at anvende en anerkendt algoritme til kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gendannes i klartekst.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. Det bemærkes i den forbindelse, at manglende efterlevelse af et påbud fra Datatilsynet kan straffes med en bøde, jf. databeskyttelseslovens[2] § 41, stk. 2, nr. 5, jf. stk. 6.

Påbuddet skal efterleves senest 5. november 2021. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager siden 2013 har været oprettet i T. Hansen Gruppen A/S’ kundesystem med tre forskellige kundenumre. Telefonnummer udgør oftest kundenummeret hos T. Hansen Gruppen A/S.

I løbet af 2020 opdagede klager, at en uvedkommende persons e-mailadresse og køb fremgik af klagers ældste kundeprofil. Kundenummeret på profilen er klagers tidligere mobilnummer. Problemet skyldtes, at en uvedkommende person har overtaget klagers tidligere mobilnummer, foretaget et køb hos T. Hansen Gruppen A/S, oplyst mobilnummeret og personenes e-mailadresse ved købet, og på baggrund heraf blev personens køb og oplysninger lagt ind på klagers kundeprofil.

2.1. Klagers bemærkninger

Klager har overordnet anført, at oplysninger om klager på klagers kundeprofil har kunnet tilgås af en uvedkommende person, idet personen har overtaget klagers tidligere mobilnummer, som T. Hansen Gruppen A/S har anvendt som kundenummer. På klagers kundeprofil har der således fremgået oplysninger om både klager og den uvedkommende persons navn, adresse, telefonnummer og køb hos T. Hansen Gruppen A/S.

Derudover har klager anført, at glemte passwords opbevares og sendes i klartekst efter en kundes anmodning herom. Klager har efterprøvet T. Hansen Gruppen A/S’ løsning, og klager fik dermed den 25. januar 2021 via mail tilsendt sit selvvalgte password i klartekst. Klager har på denne baggrund anført, at den uvedkommende person, som har overtaget klagers tidligere mobilnummer, har været i stand til at få tilsendt klagers password til vedkommendes e-mailadresse.

Klager har dertil oplyst, at den uvedkommende persons e-mailadresse i kundeprofilen hos T. Hansen Gruppen A/S er af T. Hansen Gruppen A/S blevet angivet som profilens primære e-mailadresse.

2.2. T. Hansen Gruppen A/S’ bemærkninger

Kromann Reumert har på vegne af T. Hansen Gruppen A/S fremkommet med udtalelser i sagen.

Kromann Reumert har på vegne af T. Hansen Gruppen A/S oplyst, at oplysninger om den uvedkommende person har fremgået af klagers kundeprofil i en ukendt periode, men antageligvis fra den 29. januar til 2. februar 2021, og i hvert fald til senest den 9. februar 2021.

Hvis den uvedkommende person i denne periode havde tilgået klagers kundeprofil hos T. Hansen Gruppen A/S, ville personen få oplysninger om klagers navn, adresse, telefonnummer, e-mailadresse og faktura fra tidligere køb.

Hvis den uvedkommende person havde klikket på ”genfremsend password”, ville denne person få fremsendt klagers password i klartekst til sin e-mailadresse. Selve fremsendelsen ville ske krypteret på transportlageret med TLS 1.2. Kromann Reumert har i den forbindelse bemærket, at det fremsendte password med stor sandsynlighed er et autogenereret password. 

T. Hansen Gruppen A/S har imidlertid kunnet konstatere, at den uvedkommende person hverken har tilgået web-login eller har benyttet sig af funktionen ”genfremsend password”.

T. Hansen Gruppen A/S har oplyst, at virksomheden gemmer eller har gemt en kopi af klagers password i klartekst eller i en form, der kan tilbageføres til klartekst. Ved at bruge funktionen ”glemt password”, kunne klager få tilsendt sit password i klartekst til sin oplyste e-mailadresse, hvis kundenummer og e-mail på kundeprofilen stemte overens med det, klager havde angivet. Fremsendelsen ville i så fald ske krypteret.

T. Hansen Gruppen A/S har – efter aftale med klager – overført alle klagers oplysninger, herunder købshistorik, til klagers kundeprofil med klagers aktuelle telefonnummer, og slettet klagers ene kundeprofil og spærret den anden kundeprofil.

Kromann Reumert har anført, at fejlen skete ved, at personalet hos T. Hansen Gruppen A/S ikke havde verificeret data på den pågældende kundeprofil i forbindelse med den uvedkommende persons køb. Personalet burde have sikret adskillelse af de to kunders købshistorik; enten ved at oprette en ny kundeprofil til den uvedkommende person, eller ved at have sikret overgangen af klagers data til et nyt kundenummer.

For at undgå, at lignende tilfælde gentager sig, har T. Hansen Gruppen A/S den 9. februar 2021 lukket ned for private kunders mulighed for at tilgå web log-in og den 14. april 2021 fjernet muligheden for at genfremsende passwords. T. Hansen Gruppen A/S arbejder på en ny log-in løsning med en anden passwordpolitik, hvor glemte passwords skal nulstilles i stedet for at sendes via mail til brugeren. T. Hansen Gruppen A/S har indtil da spærret for den eksisterende løsning. T. Hansen Gruppen A/S har derudover igangsat ændringer i virksomhedens ERP-system, således at data på kundeprofiler ikke kan sammenlægges, medmindre der forudgående er foretaget en verificering af data. Det betyder, at alle kunder, der ikke er fuldstændig identificerbare, vil ved afgivelse af bestilling af varer få oprettet en ny konto hos T. Hansen Gruppen A/S.

T. Hansen Gruppen A/S har ikke foretaget en risikovurdering for fremsendelse af passwords i klartekst via e-mail, men er ved at udarbejde en risikovurdering baseret på den nye web-log løsning.

T. Hansen Gruppen A/S har ikke foretaget anmeldelse, idet virksomheden har vurderet, at det er usandsynligt, at hændelserne indebærer en risiko for klagers rettigheder eller frihedsrettigheder, da der ikke er sket kompromittering af personoplysninger om klager. Det er endvidere blevet vurderet, at det ikke medfører en risiko for den uvedkommende persons rettigheder eller frihedsrettigheder, at klager har fået adgang til almindelige oplysninger om personen. T. Hansen Gruppen A/S har af samme årsag ikke underrettet personen om hændelsen.

3. Begrundelse for Datatilsynets afgørelse

3.1 Databeskyttelsesforordningens artikel 32

Datatilsynet lægger på baggrund af det til sagens oplyste til grund, at der på klagers kundeprofil hos T. Hansen Gruppen A/S blev tilføjet oplysninger om en uvedkommende persons navn, adresse, telefonnummer og køb hos T. Hansen Gruppen A/S, og at den uvedkommende person i en ukendt periode men antageligvis fra den 29. januar til 2. februar 2021, havde adgang til at tilgå oplysninger om klager og adgang til at få klagers password tilsendt.

Datatilsynet lægger på den baggrund til grund, at der har været en uautoriseret adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger, og at alle sandsynlige fejlscenarier bør testes i forbindelse med udviklingen af ny software, hvor der behandles personoplysninger.

Det er endvidere Datatilsynets opfattelse, at det i forbindelse med behandlinger, hvor brugeres password opbevares i IT-løsninger, der er eksponeret mod netværk, hvorover den dataansvarlige ikke har kontrol, normalt vil være en passende sikkerhedsforanstaltning at anvende en anerkendt algoritme til kryptering (f.eks. hashing) af passwords, så disse ikke på noget tidspunkt opbevares i klartekst.

Dette gælder uanset hvilke og hvor mange personoplysninger, som behandlingen omfatter. Baggrunden herfor er, at mange registrerede genbruger passwords på tværs af tjenester m.v., hvorfor der er nærliggende risiko for at passwordet kombineret med f.eks. en mailadresse vil kunne give adgang til yderligere oplysninger på andre hjemmesider m.v.

Datatilsynet finder på den baggrund, at T. Hansen Gruppen A/S ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har herved lagt vægt på, at T. Hansen Gruppen A/S ved udvikling af sit system ikke har taget højde for, at kunders oplysninger kan risikere at blive sammenlagt, eksempelvis som følge af, at et telefonnummer overgår fra en person til en anden. Det er Datatilsynets opfattelse, at genbrug af telefonnumre er et påregneligt og normalt forekommende scenarie, hvorfor dette skulle have indgået ved fastlæggelsen af de relevante sikkerhedsforanstaltninger. Datatilsynet har derudover lagt vægt på, at T. Hansen Gruppen A/S i sit system har opbevaret brugernes selvvalgte passwords i klartekst uden en anerkendt algoritme til en irreversibel kryptering heraf, og at T. Hansen Gruppen A/S har haft en funktion, hvor brugere har kunnet få tilsendt passwords i klartekst til brugerens angivne e-mailadresse efter anmodning, uagtet at T. Hansen Gruppen A/S ikke har foretaget en risikovurdering i overensstemmelse hermed.

Datatilsynet finder endvidere grundlag for at meddele T. Hansen Gruppen A/S påbud om – i det omfang T. Hansen Gruppen A/S stadig opbevarer passwords i klartekst – at anvende en anerkendt algoritme til kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gendannes i klartekst.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. Det bemærkes i den forbindelse, at manglende efterlevelse af et påbud fra Datatilsynet kan straffes med en bøde, jf. databeskyttelseslovens § 41, stk. 2, nr. 5, jf. stk. 6.

Påbuddet skal efterleves senest 5. november 2021. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Datatilsynet har noteret sig, at T. Hansen Gruppen A/S har lukket ned for private kunders mulighed for at tilgå web log-in, fjernet muligheden for at genfremsende passwords og arbejder på en ny log-in løsning med en anden passwordpolitik, hvor glemte passwords skal nulstilles i stedet for at sendes via mail til brugeren. Datatilsynet har endvidere noteret sig, at T. Hansen Gruppen A/S har igangsat ændringer i virksomhedens ERP-system, således at data på kundeprofiler ikke kan sammenlægges, medmindre der forudgående er foretaget en verificering af data.

3.2. Databeskyttelsesforordningens artikel 33

Det følger af forordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse, og om muligt inden 72 timer, skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Datatilsynet finder, at T. Hansen Gruppen A/S – ved ikke at anmelde bruddet til Datatilsynet – ikke har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 1.

Det er Datatilsynets vurdering, at den uautoriserede adgang til personoplysninger for klager om den uvedkommende person udgør et brud på persondatasikkerheden, som skal anmeldes til tilsynet. Datatilsynet har i den forbindelse lagt vægt på, at alle brud på persondatasikkerheden skal anmeldes til Datatilsynet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. En risiko for fysiske personers rettigheder og frihedsrettigheder omfatter bl.a. diskrimination, identitetstyveri eller -svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede. Det er i den forbindelse Datatilsynets opfattelse, at T. Hansen Gruppen A/S ikke har godtgjort, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for den uvedkommende persons rettigheder eller frihedsrettigheder.

Datatilsynet skal i den anledning indskærpe, at T. Hansen Gruppen A/S fremover anmelder lignende sikkerhedsbrud til Datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.

3.3. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at T. Hansen Gruppen A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, og artikel 33, stk. 1.

Datatilsynet finder endvidere grundlag for at meddele T. Hansen Gruppen A/S påbud om – i det omfang T. Hansen Gruppen A/S stadig opbevarer passwords i klartekst – at anvende en anerkendt algoritme til kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gendannes i klartekst.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. Det bemærkes i den forbindelse, at manglende efterlevelse af et påbud fra Datatilsynet kan straffes med en bøde, jf. databeskyttelseslovens § 41, stk. 2, nr. 5, jf. stk. 6.

Påbuddet skal efterleves senest 5. november 2021. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).