Journalnummer: 2008-631-0061
Ved e-post af 8. november 2008 gjorde en borger Datatilsynet opmærksom på, at han ved at logge sig ind på sit pant nr. på Realkredit Danmark A/S’ hjemmeside havde fået adgang til 3. personers låneoplysninger.
Datatilsynet indhentede den 14. november 2008 telefonisk supplerende oplysninger hos borgeren. Datatilsynet meddelte i samme forbindelse borgeren, at han ikke er klageberettiget, men at tilsynet ville gå ind i sagen af egen drift, jf. persondatalovens § 58, stk. 1.
Ved brev af 17. november 2008 anmodede Datatilsynet Realkredit Danmark A/S om en udtalelse til sagen.
Ved breve af 4. december 2008 og 29. januar 2009 er Realkredit Danmark A/S fremkommet med udtalelser til sagen.
Ved brev af 2. februar stillede Datatilsynet supplerende spørgsmål, som blev besvaret af Realkredit Danmark A/S ved brev af 9. februar 2009.
Realkredit Danmark A/S har bekræftet, at det via Realkredit Danmark A/S’ hjemmeside har været muligt at få adgang til ca. 60 tredjepersoners kundeoplysninger. Dette har kun været muligt i forbindelse med ejerskifte, hvor der i samme pant optages nyt lån samtidig med at sælgers gamle lån fortsat eksisterer.
Realkredit Danmark A/S har endvidere oplyst, at adgangen til oplysninger har været mulig i de situationer, hvor sælger endnu ikke har indfriet et eksisterende lån samtidig med at køber optager et nyt lån i samme pant. I perioden indtil sælgers lån blev indfriet, og der var blevet gennemført en gældsovertagelse i systemet, har der således været adgang for både sælger og køber i en begrænset periode.
Om de oplysningstyper, der har været tilgængelige, har Realkredit Danmark A/S oplyst, at der er tale om oplysninger om det etablerede låns egenskaber f.eks. låntype, ydelser, restgæld og aftale om afdragsfrihed. Realkredit Danmark A/S har i samme forbindelse oplyst, at der er tale om oplysninger, der vil kunne findes ved opslag i tingbogen. Der kunne ikke ses oplysninger om kundernes personnumre eller kreditstatus eller lignende.
Realkredit Danmark A/S har tillige oplyst, at sikkerhedsbristen er opstået i forbindelse med introduktionen og implementeringen af et nyt rådgiverlånesystem kaldet Ejendomsfinansiering i 2007, og at sikkerhedsbristen er blevet løst ved, at adgangen til systemet nu er lukket, når der findes en åben gældsovertagelsessag i systemet.
For at sikre sig mod lignende sikkerhedsbrister i fremtiden vil Realkredit Danmark A/S grundigt gennemteste IT-løsninger, der er tilgængelige på nettet, så det sikres, at der kun gives adgang til de rigtige personer. Realkredit Danmark A/S har i samme forbindelse anført, at risikoen for lignende problemer i fremtiden mindskes af, at fremtidige løsninger vil blive bygget op omkring netID (pengeinstitutternes signeringsløsning).
For så vidt angår en underretning af de berørte kunder har Realkredit Danmark A/S oplyst, at henset til indholdet af de oplysninger som tredjemand har kunnet få adgang til (svarende til oplysninger i den offentligt tilgængelige tingbog), og henset til at der alene har været tale om en klage, har Realkredit Danmark A/S valgt ikke at tilskrive de 60 kunder, der kan være tale om. Det er Realkredit Danmark A/S’ opfattelse, at en sådan underretning vil kunne skabe større uro end beroligelse.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget tilgængeliggøres for uvedkommende på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Datatilsynet finder tilgængeliggørelsen af kundeoplysninger meget beklagelig
Datatilsynet kan konstatere, at det på Realkredit Danmark A/S’ hjemmeside har været muligt for tredjemand at få adgang til ca. 60 kunders låneoplysninger.
I det konkrete tilfælde, hvor låneoplysninger har været gjort tilgængelige for tredjemand, finder Datatilsynet ikke, at Realkredit Danmark A/S har udvist den fornødne omhu, og Realkredit Danmark A/S har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.
Datatilsynet har noteret sig Realkredit Danmark A/S’ oplysninger om de skridt, der påtænkes taget, for at undgå en lignende tilgængeliggørelser i fremtiden.
Underretning af de berørte kunder
Hvis en virksomhed ved en fejl er kommet til at tilgængeliggøre sine kunders låneoplysninger over for tredjemand, skal virksomheden gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5.
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været tilgængeliggjort, kan det efter omstændighederne være nødvendigt at underrette de pågældende, således at disse kan varetage deres interesser.
Datatilsynet har noteret sig Realkredit Danmark A/S’ oplysninger om virksomhedens vurdering af spørgsmålet om underretning af de berørte kunder, herunder hvorfor Realkredit Danmark A/S i første omgang har valgt ikke at skrive til de 60 berørte kunder.
Datatilsynet er enig i, at det i denne sag må tillægges betydning, at der er tale om oplysninger, som vil kunne findes i den offentlige tingbog, og at der således ikke kunne ses oplysninger om personnumre, kreditstatus eller lignende, og at en underretning formentlig vil skabe mere uro end beroligelse hos de berørte.
Datatilsynet skal imidlertid anmode Realkredit Danmark A/S om at overveje at give en generel information om sikkerhedsbristen på virksomhedens hjemmeside. Datatilsynet skal samtidig anmode Realkredit Danmark A/S om at underrette tilsynet om, hvad virksomheden gør i sagen.
Datatilsynet skal afslutningsvist for god ordens skyld oplyse, at dette brev vil blive offentliggjort på tilsynets hjemmeside.