Journalnummer: 2008-212-0116
Ved e-post af 27. september 2008 har De klaget til Datatilsynet over en sikkerhedsbrist på Hi3Gs hjemmeside, hvorved der er blevet tilgængeliggjort oplysninger om Hi3Gs kunder, herunder Dem selv.
Datatilsynet har efterfølgende været i kontakt med Hi3G Danmark ApS (herefter Hi3G) telefonisk og per e-post og Hi3G har i den forbindelse oplyst, at sikkerhedsbristen skulle være afhjulpet den 2. oktober 2008.
Ved e-post af 28. oktober 2008 er Hi3G fremkommet med en udtalelse til sagen, som De ikke ses at have kommenteret.
Det fremgår herefter af sagen, at De efter et køb i Hi3Gs webshop blev opmærksom på, at der var fri adgang til de oplysninger andre kunder havde indtastet i forbindelse med ordreafgivelse. Oplysninger blev tilgængelige ved at udskifte nummeret i slutningen af web-adressen, f.eks. ved at formindske eller forhøje nummeret med 1.
Hi3G har oplyst, at ca. 20 kunder har været berørt af sikkerhedsbristen på virksomhedens hjemmeside.
Hi3G har endvidere oplyst, at oplysninger om navn, adresse, telefonnummer samt hvilken vare der er købt, har været tilgængelige om de berørte kunder på hjemmesiden.
Ifølge Hi3Gs logfiler har 21 personer, der har benyttet 21 forskellige IP adresser, haft adgang til kundeoplysningerne.
Om selve sikkerhedsbristen har Hi3G oplyst, at denne opstod som følge af en fejl begået af en systemprogrammør i forbindelse med udviklingen af systemet.
Hi3G har oplyst, at sikkerhedsbristen kan have eksisteret siden marts 2008, at den blev opdaget af en kunde den 27. september 2008, og at den blev afhjulpet af leverandøren af systemet den 2. oktober 2008.
Med henblik på at forhindre lignende sikkerhedsbrister i fremtiden har Hi3G oplyst, at leverandøren af systemet har briefet sine systemudviklere omkring vigtigheden ved problemet og er i gang med at udvikle tekniske strategier, der skal afhjælpe lignende problemer i fremtiden.
Herudover har systemleverandøren udbygget sin kvalitetssikringspolitik, så alle tænkelige sikkerhedsaspekter fremover vil blive gennemgået i forbindelse med udviklingen af nye systemer.
Systemleverandøren er endvidere i gang med at gennemgå alle eksisterende webbutikker for potentielle sikkerhedsbrister.
Systemleverandøren har rapporteret sikkerhedsbristen til sine interne finans- og sikkerhedsteams sammen med en anmodning om assistance ved risikoidentifikation og reduktion.
Endelig har systemleverandøren udbygget sit interne Risk Management program.
Hi3G har afslutningsvist oplyst, at virksomheden skriftligt vil informere alle kunder, som kan have været berørt af sikkerhedsbristen, samt informere de berørte kunder om, at hvilke tiltag der er taget for at undgå lignende situationer i fremtiden.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Lovens § 41, stk. 3, foreskriver, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forplig-telse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Det er Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for omfattende videregivelse af fortrolige eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af virksomhedens systemer.
Datatilsynet finder det skete meget beklageligt
Datatilsynet lægger på baggrund af det oplyste til grund, at det som følge af en sikkerhedsbristen har været muligt at se oplysninger om andre kunders navn, adresse, telefonnummer samt hvilke varer de pågældende har købt på Hi3Gs hjemmeside. Dermed har Hi3G ikke levet op til kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt, hvilket tilsynet ved brev af dags dato har meddelt Hi3G.
Datatilsynet har noteret sig Hi3Gs redegørelse for, hvilke tiltag der er blevet iværksat for at undgå lignende sikkerhedsbrister i fremtiden.
Underretning af de berørte personer
Hvis en virksomhed ved en fejl er kommet til at gøre oplysninger tilgængelige på internettet i strid med loven, skal virksomheden gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet".
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været gjort tilgængelige ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Datatilsynet har noteret sig det oplyste om, at Hi3G skriftligt vil informere alle de kunder, som kan have været berørt af sikkerhedsbristen.
Datatilsynet foretager sig herefter ikke yderligere i sagen.
Datatilsynet skal for en god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside i en i forhold til Dem anonymiseret form.
Kopi af dette brev er dags dato sendt til Hi3G til orientering.