Journalnummer: 2009-631-0075
Datatilsynet blev i april måned 2009 bekendt med, at der var en sikkerhedsbrist på internetsiden www.pengesparet.dk, og tilsynet anmodede ved fax af 16. april 2009 Pengesparet om en udtalelse.
Pengesparet er ved fax af 7. maj 2009 fremkommet med en udtalelse i sagen.
Pengesparet har oplyst, at der har kunnet opnås adgang til oplysninger, indtastet af brugere på Pengesparets hjemmeside. Det drejer sig om oplysninger om brugernes e-postadresse, navn, oprettelsesdato på pengesparet.dk, deres bankoplysninger, samt hvilke webbutikker, brugerne har handlet med, til hvilken pris og med hvilket sparet beløb. Oplysningerne har kunnet tilgås ved at ændre adressefeltet.
Pengesparet har endvidere oplyst, at sikkerhedsbristen eksisterede i en periode på ca. 1½ måned, indtil Pengesparet, af Datatilsynet, blev gjort opmærksom på sikkerhedsbristen. Pengesparet har oplyst, at bristen bestod i, at man ved at ændre i adressefeltet, har kunnet opnå administrationsrettigheder uden først at skulle indtaste administratornavn og adgangskode.
Om omfanget af sikkerhedsbristen har Pengesparet oplyst, at ca. 250 personer havde oprettet en brugerprofil på www.pengesparet.dk, da adgangen til admiistrationssiderne blev sikret.
Pengesparet har oplyst, at det ikke længere er muligt at opnå administrationsrettigheder, og derved kunne tilgå brugeroplysninger, uden først at skulle indtaste administratornavn og adgangskode.
Endelig har Pengesparet oplyst, at der er lagt et blogindlæg ud på pengesparets hjemmeside, hvor der redegøres for sikkerhedsbristen.
Datatilsynet skal på den baggrund udtale:
Relevante regler i persondataloven
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Lovens § 41, stk. 3, foreskriver, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Datatilsynet finder det skete meget beklageligt
Datatilsynet lægger på baggrund af det oplyste til grund, at det som følge af en sikkerhedsbrist har været muligt at se oplysninger om brugere registreret hos pengesparet, herunder bank- og paypaloplysninger. Dermed har Pengesparet ikke levet op til kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.
Datatilsynet har noteret sig det oplyste om, at Pengesparet har rettet op på fejlen, så det ikke længere skulle være muligt for udenforstående at opnå adgang til brugeroplysninger.
Underretning af de berørte personer
Hvis en virksomhed ved en fejl er kommet til at gøre oplysninger tilgængelige på internettet i strid med loven, skal virksomheden gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet" .
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været gjort tilgængelige ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Pengesparet har imidlertid på sin blog offentliggjort et indlæg om den utilsigtede offentliggørelse.
Det er Datatilsynets opfattelse, at denne underretning via virksomhedens blog ikke er tilstrækkelig. Datatilsynet lægger i den forbindelse vægt på, at det ikke fremgår af blogindlægget, at bank- og paypaloplysninger ligeledes har været berørt af sikkerhedsbristen. Da Pengesparet er i besiddelse af de berørte personers e-postadresser, vil det være muligt uden større vanskeligheder at underrette de berørte brugere om sikkerhedsbristen via e-post.
Datatilsynet finder således, at omstændighederne i denne sag fører til, at Pengesparet skal sende underretning til de enkelte, berørte personer. Datatilsynet har herved også lagt på, at offentliggørelsen foruden navne og e-postadresse omfattede bl.a. bankoplysninger (pengeinstitut, registreringsnummer og kontonummer) samt webbutikker, brugeren har handlet i.
Der er således tale om omfattende oplysninger, og det kan efter tilsynets opfattelse ikke udelukkes, at det skete kan have konsekvenser for de berørte.
Datatilsynet skal derfor anmode Pengesparet om at foretage en individuel underretning af sine brugere og orientere Datatilsynet, når dette er sket.
Datatilsynet afventer tilbagemelding fra Pengesparet
Datatilsynet afventer herefter en orientering fra Pengesparet.
Datatilsynet skal for en god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.