Journalnummer: 2011-631-0133
1.
Coop Danmark A/S har ved telefonsamtale og e-post af 11. februar 2011 gjort Datatilsynet opmærksom på, at Irmatorvet A/S har offentliggjort oplysninger om ca. 35.000 kunders kontaktoplysninger, password og købshistorik på hjemmesiden www.irmatorvet.dk.
Ved e-post af 14. februar 2011 er Irmatorvet A/S fremkommet med en udtalelse til sagen.
Ved telefonsamtale af 15. februar 2011 har Datatilsynet drøftet sagen med Irmatorvet A/S.
2. Sagsfremstilling
Det fremgår af sagen, at oplysninger om ca. 35.000 kunders kontaktoplysninger, password og købshistorik har været offentligt tilgængelige på hjemmesiden www.irmatorvet.dk i en periode fra medio september til den 23. december 2010.
Det fremgår endvidere, at Irmatorvet A/S har gennemgået købshistorik og systemets log og på den baggrund anser det for usandsynligt, at uvedkommende har udnyttet muligheden for at få adgang til disse oplysninger.
Det fremgår herudover, at Irmatorvet A/S opdagede sikkerhedsbristen i forbindelse med en rutinemæssig kontrol udført af selskabets interne it-sikkerhedsgruppe.
Irmatorvet A/S har som led i forbedringen af sikkerheden med hensyn til kundedata anmodet sine kunder om at logge ind på hjemmesiden www.irmatorvet.dk og indtaste et nyt password. Brugere, som ikke senest den 20. marts 2011 har logget ind og ændret sit password, vil blive tildelt et password af systemet, som ingen kender.
Irmatorvet A/S har oplyst, at der som forberedelse til en forventet øget aktivitet på hjemmesiden blev gennemført tekniske omlægninger og etableret en ekstra stor server til at teste ændringerne på. For at gøre testen så virkelighedstro som muligt, blev der benyttet rigtige kundedata til testen. Serveren var desværre ikke tilstrækkeligt sikkerhedsmæssigt beskyttet, hvilket betød, at kunders kontaktoplysninger og adgangskode til web-butikken i en periode var tilgængelige. Ved logon med adgangskoden kunne oplysninger om kundens købshistorik tilgås.
Irmatorvet A/S har videre oplyst, at den omtalte server er etableret efter Irma A/S’ overtagelse af hjemmesiden www.torvet.dk, dvs. medio september, og at sikkerhedsbristen blev konstateret den 23. december 2010.
Irmatorvet A/S har oplyst, at de pågældende oplysninger blev gjort utilgængelige på den omtalte test-server den 23. december 2010 ved opsætning af adgangskontrol til serveren. Primo januar 2011 blev Irmatorvet A/S’ test-system og data fjernet fra serveren.
Vedrørende hidtidige forholdsregler mod uberettiget videregivelse af personoplysninger har Irmatorvet A/S oplyst, at Irmatorvet A/S’ produktionssystemer normalt er de eneste, som indeholder rigtige kundedata. Produktionssystemerne testes af Irmatorvet A/S’ systemleverandører, og inden idriftsætning tester Irmatorvet A/S selv, at den tilsigtede funktionalitet og (kun) de ønskede data er til stede og behandles korrekt.
Irmatorvet A/S har videre oplyst, at sikkerhedsbristen vedrørte et test-system, som var fejlkonfigureret, og at Irmatorvet A/S normalt ikke har produktionsdata i selskabets test-systemer. I tilfælde af, at der er produktionsdata på et test-system, skal test-systemet naturligvis være tilsvarende sikkerhedsmæssigt sat op som produktionssystemerne.
Irmatorvet A/S har videre oplyst, at selskabets medarbejdere såvel som selskabets systemleverandører var og er bekendt med, at kundeoplysninger ikke må være tilgængelige for uvedkommende, og selskabets systemer testes normalt til at være opsat og administreret, således at dette overholdes. I den konkrete sag er der desværre sket en beklagelig fejl, hvorfor dette ikke er blevet overholdt i forbindelse med en server til test-formål. Det er blevet indskærpet over for Irmatorvet A/S’ medarbejdere og systemleverandør, at kundeoplysningerne skal beskyttes bedst muligt mod uvedkommendes adgang.
Vedrørende underretning af de berørte personer har Irmatorvet A/S oplyst, at selskabet vil underrette de berørte kunder, såvel privatpersoner som virksomheder/institutioner. Underretning vil ske pr. e-mail. Irmatorvet A/S har til Datatilsynet fremsendt kopi af underretningsbrevet.
Irmatorvet A/S har videre oplyst, at selskabet til de kunder, der ikke kan modtage underretningen via e-post, vil sende underretningen via almindeligt brev.
Irmatorvet A/S har videre oplyst, at selskabet har søgt efter kunders kontaktoplysninger m.v. på de to store søgemaskiner, Google og Bing, og intet har fundet. Det er Irmatorvet A/S’ vurdering, at de bemeldte sider ikke er indekserede af søgemaskinerne.
Vedrørende fremtidige forholdsregler mod uberettiget videregivelse af personoplysninger har Irmatorvet A/S oplyst, at selskabet i samarbejde med systemleverandøren har defineret en liste over aktiviteter, som gennemføres for at styrke sikkerheden generelt, idet selskabet naturligvis ønsker at undgå sikkerhedsbrister. Aktiviteterne omfatter styrket sikkerhedsopsætning af applikation, infrastruktur og netværk samt styrkede processer for sikkerhedsopdateringer. Endvidere vil Irmatorvet A/S’ kunders password ikke længere kunne udlæses i klartekst fra selskabets database og misbruges til f.eks. uautoriseret udsøgning af kunders personlige oplysninger såsom købshistorik.
Irmatorvet A/S har endelig oplyst, at hjemmesiden www.irmatorvet.dk vil blive sikkerhedstestet, og at eventuelle udeståender vil blive behandlet i samarbejde med systemleverandørerne.
3. Datatilsynet skal herefter udtale følgende:
3.1. Relevante regler i persondataloven
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
3.2. Datatilsynet finder sikkerhedsbristen meget beklagelig
Datatilsynet lægger til grund, at det som følge af sikkerhedsbristen har været muligt for uvedkommende at tilgå oplysninger om kunders kontaktoplysninger, password og købshistorik. Dermed har Irmatorvet A/S ikke levet op til kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.
Datatilsynet har noteret sig det oplyste om, at Irmatorvet A/S har rettet op på fejlen, så det ikke længere skulle være muligt for uvedkommende at opnå adgang til kundeoplysninger.
Datatilsynet har endvidere noteret sig det af Irmatorvet A/S oplyste om, at sikkerhedsbristen skyldes en beklagelig fejl.
3.3. Underretning af de berørte personer m.v.
3.3.1. Hvis en virksomhed som følge af en sikkerhedsbrist har gjort kundeoplysninger tilgængelige for uvedkommende, vil det – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel i § 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed skal underrette de berørte personer samt undersøge, om oplysningerne findes i kopier dannet af søgemaskiner som Google, Bing og lignende, og i givet fald sørge for, at oplysningerne fjernes derfra.
3.3.2. Ved telefonsamtale af 15. februar 2011 gjorde Datatilsynet Irmartorvet A/S opmærksom på, at Irmatorvet A/S bør tydeliggøre i e-postens emnefelt, at der er tale om en vigtig meddelelse – og ikke en reklame eller et nyhedsbrev.
Datatilsynet har efterfølgende konstateret, at der i emnefeltet på den e-post, som blev sendt til Irmatorvet A/S’ kunder, alene fremgår følgende: ”Til Irmatorvets kunder”. Datatilsynet finder det beklageligt, at Irmatorvet A/S ikke har fulgt Datatilsynets anbefaling om at tydeliggøre i emnefeltet, at der er tale om en vigtig meddelelse.
Datatilsynet har noteret sig det oplyste om, at Irmatorvet A/S vil underrette de berørte personer pr. e-mail, og at Irmatorvet A/S til de kunder, der ikke kan modtage underretningen via e-post, vil sende underretningen via almindeligt brev.
3.3.3. Datatilsynet har endvidere noteret sig det oplyste om, at Irmatorvet A/S har søgt efter kunders kontaktoplysninger m.v. på de to store søgemaskiner, Google og Bing, og intet har fundet, og at det er Irmatorvet A/S’ vurdering, at de bemeldte sider ikke er indekserede af søgemaskinerne.
3.4. Test på rigtige personoplysninger
Persondatalovens behandlingsregler samt de grundlæggende krav om saglighed og proportionalitet begrænser mulighederne for at benytte rigtige personoplysninger i testøjemed. I de tilfælde, hvor det måtte være nødvendigt at benytte personoplysninger, vil loven finde fuldt ud anvendelse og de sikkerhedsforanstaltninger, som kræves efter loven, skal således være på plads også i testen.
Ved test i forbindelse med program- og systemudvikling bør der efter Datatilsynets opfattelse anvendes egentlige testdata, dvs. oplysninger om fiktive personer, og ikke oplysninger om eksisterende personer. Der bør således ikke som testdata anvendes kopi af produktionsdata, medmindre der forinden er foretaget en effektiv anonymisering af disse.
Datatilsynet må ud fra det i sagen oplyste lægge til grund, at der i forbindelse med testen af ændringerne af hjemmesiden blev anvendt rigtige kundedata.
Datatilsynet finder på den baggrund anledning til at indskærpe, at der ikke bør anvendes oplysninger om eksisterende personer i testøjemed.
4. Afsluttende bemærkninger
Datatilsynet foretager sig herefter ikke yderligere i sagen.
Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.