Journalnummer: 2021-431-0163.
Resumé
Datatilsynet har truffet afgørelse i en sag, hvor Mindworking A/S, som databehandler og leverandør af en platform til ejendomshandler, ikke havde sikret sig mod, at uvedkommende – ved inspektion af kildekoden (XML-koden) – kunne tilgå personoplysninger på platformen.
Brud på persondatasikkerheden
De oplysninger, der kunne tilgås på platformen, var de oplysninger, som den enkelte ejendomsmægler havde knyttet til en konkret ejendom, der var til salg. Der var bl.a. tale om navne på potentielle købere og den pris, de havde tilbudt for ejendommen, samt dokumenter med personoplysninger. Det var f.eks. udkast til købsaftaler, der - udover diverse identitetsoplysninger – i enkelte tilfælde også indeholdt cpr-numre. Enkelte af personoplysningerne var allerede offentliggjorte oplysninger fra tinglysningsportaler.
Oplysningerne kunne tilgås af brugere, der var tilknyttet konkrete salgssager, og efter de var logget ind med et brugernavn og adgangskode. Brugeren kunne få adgang til oplysningerne ved at trykke på en funktionstast og aktivere såkaldte ”Dev tools”.
Mangel på relevante tests
Datatilsynet slår i afgørelsen fast, at der generelt ikke i kildekoden eller i visningslagets kommentarfelter skal fremgå personoplysninger. Dette gælder også for oplysninger, der ikke er personoplysninger, men som vil kunne kompromittere behandlingssikkerheden - f.eks. hvis det er muligt i klar tekst at se styringsparametre på services, certifikater eller lignende.
Datatilsynet slår endvidere fast, at det ikke er at betragte som en sikkerhedsforanstaltning, at adgang til oplysningerne krævede, at den enkelte bruger skulle aktivere ”Dev Tools” i browseren.
Det er Datatilsynets opfattelse, at funktionaliteten ved at benytte den pågældende funktionstast er en almindelig kendt proces for inspiceringen af kildekoden, der ikke kræver særlige kompetencer inden for it-sikkerhed.
Datatilsynet konkluderede, at databehandleren burde have gennemført relevante tests af platformen før ibrugtagningen, da der er tale om en kendt og elementær fejl, som let kunne og burde være undgået. Dermed havde Mindworking A/S, som databehandler, overtrådt forordningens artikel 32 ved ikke at have truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved behandlingen af personoplysningerne.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor Mindworking A/S (herefter benævnt som Mindworking) den 11. november 2021 som databehandler og leverandør af en platform for en række dataansvarlige har anmeldt et brud på persondatasikkerheden til Datatilsynet. Mindworking anmeldte bruddet på persondatasikkerheden efter en dialog med tilsynet, idet tilsynet i en periode havde modtaget en række anmeldelser om brud på persondatasikkerheden fra ejendomsmæglere, som havde benyttet den platform, som Mindworking havde udviklet. Datatilsynet valgte på den baggrund at undersøge den rejste problemstilling nærmere og indledte en sag mod Mindworking.
Mindworking og Datatilsynet har desuden været i dialog både mundtligt og skriftligt, senest ved Mindworkings besvarelse af tilsynets høring den 22. maj 2023.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Mindworkings behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Mindworking har den 11. november 2021 efter en indledende dialog med Datatilsynet anmeldt et brud på persondatasikkerheden.
Anmeldelsen fra Mindworking er foretaget på baggrund af en række anmeldelser af brud på persondatasikkerheden, som Datatilsynet modtog i perioden fra den 8. november til den 12. november 2021 fra i alt 65 dataansvarlige, som anvender platformen, der er udviklet og leveret af Mindworking. Mindworking er databehandler for de dataansvarlige.
Mindworking fik den 4. november 2021 via en henvendelse fra en af de ejendomsmæglere, der benytter platformen, kendskab til, at det havde været muligt for uvedkommende at tilgå oplysninger via platformen. Ejendomsmægleren havde således modtaget en anonym henvendelse fra en kunde, som havde gjort opmærksom på et sikkerhedshul på platformen. Det fremgik af henvendelsen, at kunden ved brug af en funktionstast kunne læse data i kildekoden, som det ikke var meningen, at vedkommende skulle kunne tilgå.
Mindworking iværksatte herefter en intern undersøgelse og kunne konstatere, at en fil leverede for meget data til den enkelte bruger af platformen. Mindworking har oplyst, at hændelsen var forårsaget af en sikkerhedsfejl, som Mindworking ikke kendte til, hvorfor Mindworking ikke på forhånd havde implementeret tekniske eller organisatoriske foranstaltninger for at forhindre, at dette kunne ske. Platformen blev taget i brug primo 2019, og bruddet varede indtil den 4. november 2021, hvor hændelsen blev konstateret, og hvor Mindworking samtidig rettede fejlen således, at kun personer med de rette brugerprofiler kunne tilgå/trække alle data direkte ud fra platformen.
Mindworking har oplyst, at de brugere, der uberettiget kunne tilgå oplysninger via platformen, var sælgere af de enkelte ejendomme og købere/potentielle købere med relation til de enkelte sager. Brugerne skulle være oprettet som brugere med adgangsrettigheder til den enkelte sag. Adgang til oplysningerne krævede, at de nævnte brugere var logget ind med brugernavn og adgangskode på platformen. Mindworking har videre oplyst, at adgangen til oplysningerne i kildekoden også forudsatte ”developer kompetencer” hos brugerne. De skulle således skifte til et korrekt developer tool, forstå en dyb datastruktur og finde graphtyper for at få adgang til oplysninger.
I kildekoden kunne der på de enkelte sager f.eks. tilgås oplysninger i form af ejendomsmæglernes egne noter vedrørende den enkelte aktivitet på ejendommen, navne på potentielle købere og den pris, de har tilbudt på en ejendom, købsaftaledokumentet, diverse beregninger, årsopgørelser for lån, BBR-dokumenter, frister vedrørende deponering og garanti og en samlet dokumentliste, der indeholdt oprettelsesdato for dokumentet og et url-link til det konkrete dokument. Mindworking har oplyst, at bl.a. de salgsrelaterede dokumenter indeholdt personoplysninger, og at det ikke kan afvises, at der i købsaftalerne kunne være anført cpr-numre.
Dermed var der både adgang til oplysninger, herunder personoplysninger, der allerede var offentliggjort i andre registre, men i visse tilfælde også til personoplysninger, der ikke skulle kunne tilgås af uvedkommende.
Mindworking har oplyst, at der ved en omfattende analyse af logfilerne i november 2021 ikke blev påvist mistænkelig aktivitet. Mindworking har dog efterfølgende præciseret, at det ikke har været muligt at logge, hvem der måtte have tilgået oplysningerne ved brug af funktionstasten, da log ikke er en browserfunktionalitet. Det har således ikke været muligt at afdække, om uvedkommende har tilgået oplysningerne.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det, Mindworking har oplyst, til grund, at det i perioden fra primo 2019 til den 4. november 2021 via den platform, som Mindworking har udviklet, og som ejendomsmæglerne har benyttet ved salg af ejendomme, har været muligt at tilgå for mange oplysninger, herunder personoplysninger, på den enkelte mæglers sag vedrørende en konkret ejendom.
Datatilsynet lægger endvidere til grund, at det var personer, der var oprettet som brugere på de konkrete salgssager, der uberettiget kunne tilgå oplysningerne, og at adgang til oplysningerne forudsatte login på platformen med brugernavn og adgangskode og herefter anvendelse af en specifik funktionstast. Herved blev det muligt ved inspektion af kildekoden at tilgå for mange personoplysninger, herunder eventuelt navne på potentielle købere og den pris, de har tilbudt på en ejendom, samt indhold af dokumenter med personoplysninger, f.eks. købsaftaler, der - udover diverse identitetsoplysninger - eventuelt også kunne indeholde cpr-numre.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at dataansvarlige og databehandlere skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges og databehandlerens behandling af personoplysninger.
Der påhviler således den dataansvarlige og databehandleren en pligt til at identificere de risici, den dataansvarliges og databehandlerens behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet, jf. artikel 32 om passende sikkerhed normalt vil indebære, at man som dataansvarlig og databehandler skal sikre, at oplysninger om registrerede ikke kommer til uvedkommendes kendskab.
Det er endvidere Datatilsynets opfattelse, at kravet om passende sikkerhed i artikel 32, stk. 1, normalt vil indebære, at alle sandsynlige fejlscenarier bør testes og kontrolleres i forbindelse med udviklingen af nye applikationer, hvor der behandles personoplysninger om et stort antal brugere, for at sikre, at der ikke sker uautoriseret adgang til personoplysninger.
Det er i den forbindelse Datatilsynets opfattelse, at der generelt ikke i en kildekode eller i visningslagets kommentarfelter bør fremgå personoplysninger. Dette gælder i øvrigt for alle oplysninger, der kan kompromittere sikkerheden, f.eks. styringsparametre på services, password, certifikater eller lignende.
Det er endvidere Datatilsynets opfattelse, at et tryk på en bestemt funktionstast er en almindelig kendt proces for inspiceringen af kildekoden, der ikke kræver særlige kompetencer inden for it-sikkerhed, og det kan ikke betragtes som en sikkerhedsforanstaltning, at det krævede, at brugeren i browseren bl.a. ”skulle skifte til et korrekt developer tool” for at få adgang til oplysningerne.
Datatilsynet finder på ovenstående baggrund grundlag for at udtale kritik af, at Mindworking – ved ikke at have sikret sig imod, herunder ved gennemførelse af relevante tests af applikationen inden ibrugtagningen, at der kunne ske uautoriseret adgang til for mange personoplysninger ved inspektion af kildekoden ved brug af en specifik funktionstast via platformen – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Mindworkings behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af sanktion særligt lagt vægt på, at der var tale om en kendt og elementær fejl, som let kunne og burde være undgået, at der kunne være adgang til personoplysninger, som ikke var offentligt tilgængelige, herunder oplysninger om navne på andre potentielle købere, den pris, de har tilbudt på ejendommen, og cpr-numre, og at der var mange brugere på platformen.
Datatilsynet har i øvrigt noteret sig, at Mindworking rettede fejlen samme dag, som de blev bekendt med den.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).