Journalnummer: 2013-631-0053
Datatilsynet vender hermed tilbage til sagen, hvor oplysninger i en vidensbase hos Natur-Energi A/S har været tilgængelige for uvedkommende via internettet, og hvor det endvidere bl.a. er kommet frem, at Natur-Energi A/S har optaget samtaler uden at informere kunderne.
Ved breve af 27. august, 10. september og 24. oktober 2013 samt 25. juni 2014 er Natur-Energi A/S efter anmodning fra Datatilsynet fremkommet med udtalelser i sagen.
1. Uvedkommendes adgang til supportsager
Datatilsynet lægger til grund, at sikkerhedsbristen bl.a. vedrørte 3 års afsluttede supportsager omfattende 823 personer, herunder oplysninger om referater af telefonsamtaler eller uddrag af tilsendte e-mails, at disse oplysninger i juni 2013 blev lagt ind i en vidensbase, der var tilgængelig via internettet – uden at der dog fandtes links dertil fra Natur-Energi A/S’s hjemmeside, at der ved en opdatering af mailskabeloner i juli 2013 tillige blev udsendt link vedrørende den omhandlede vidensbase, at oplysningerne derefter blev tilgået af uvedkommende, samt at det set i bakspejlet var en fejl, at der blev opbevaret en historik på 3 år, da alle sager var afsluttet.
Datatilsynet finder det kritisabelt, at oplysningerne om 3 års afsluttede supportsager omfattende 823 personer i juni 2013 blev gjort tilgængelige for uvedkommende via internettet, og at der tillige i juli 2013 blev udsendt et link til oplysningerne. Natur-Energi A/S’ behandling af de personoplysninger, der indgik i sagerne, har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 3, samt kravet om sletning af oplysninger, der ikke længere er nødvendige, i lovens
§ 5, stk. 5.
Datatilsynet har noteret sig det oplyste om, at det kan konstateres via webserverloggen, at websiden med links til fejl-logs – bortset fra Natur-Energi A/S’s egen anvendelse – alene har været åbnet af MetroXpress og Datatilsynet, inden adgangen blev lukket den 12. august, at Natur-Energi A/S – bortset fra artiklen i MetroXpress – ikke er bekendt med, at der er sket nogen form for brug eller videregivelse af de pågældende oplysninger, samt at det er blevet indskærpet, at afsluttede supportsager skal slettes, når de er færdigbehandlet.
Datatilsynet har endvidere noteret sig det oplyste om, at Natur-Energi A/S – i de tilfælde, hvor det har været muligt at tilgå informationer ud over navn, adresse, telefonnummer og det forhold, at en person er kunde hos Natur-Energi A/S – vil informere de pågældende kunder med oplysning om, hvad der har været offentligt tilgængeligt og med information om, hvem der har tilgået disse informationer.
2. Adgangskoden til datahub’en
Datatilsynet lægger umiddelbart til grund, at Natur-Energi A/S er dataansvarlig for virksomhedens anvendelse af datahub’en og i den forbindelse skal leve op til persondatalovens krav, herunder bl.a. kravene til datasikkerhed2.
Datatilsynet må desuden lægge til grund, at vidensbasen, hvortil der var adgang for uvedkommende via internettet, også omfattede en artikel (intern manual), som indeholdt et brugernavn med tilhørende adgangskode til datahub’en (samt en beskrivelse af, hvordan man logger på og søger i datahub’en), og at der hermed kunne logges ind på datahub’en, dog alene hvis brugeren oprettede adgang til datahub’en fra Natur-Energi A/S’s IP-adresse.
Datatilsynet må endvidere lægge til grund, at brugernavnet var ”kundeservice” og adgangskoden var ”NaturEnergi2013”, at denne brugerkonto blev benyttet af tre personer hos Natur-Energi A/S, samt at Natur-Energi A/S først efter sikkerhedshændelsen har nedskrevet en sikkerhedspolitik, som bl.a. indeholder krav til styrken af adgangskoder og håndteringen af disse.
I lyset af omfanget af oplysninger, der indgår i datahub’en, havde den anvendte adgangskode ”NaturEnergi2013” efter Datatilsynets opfattelse ikke en tilstrækkelig sikkerhed. Koden burde desuden ikke have været skrevet ned, endsige gjort tilgængelig i en vidensbase, som kunne tilgås fra internettet, ligesom brugerkontoen ikke burde have været delt mellem tre personer.
Herudover er det Datatilsynets opfattelse, at Natur-Energi A/S for at leve op til persondatalovens sikkerhedskrav burde have haft skriftlige retningslinjer for datasikkerheden, herunder administration af adgangskontrolordninger mv. – bl.a. med henblik på at undgå en situation som den foreliggende.
Det er på denne baggrund Datatilsynets opfattelse, at Natur-Energi A/S ikke havde truffet de fornødne sikkerhedsforanstaltninger som krævet efter persondatalovens § 41, stk. 3.
I lyset af, at der både manglede skriftlige retningslinjer og forelå en række konkrete elementer af utilstrækkelig sikkerhed omkring adgangen, finder Datatilsynet samlet set Natur-Energi A/S’ håndtering af adgangen til datahub’en forud for hændelsen kritisabel.
Datatilsynet har i øvrigt noteret sig det oplyste om en række af aktiviteter, som Natur-Energi A/S har iværksat i umiddelbar forlængelse af sikkerhedsfejlen, herunder bl.a. sletning af teksten med kodeordet, nulstilling af kodeord til alle datahub-brugere i Natur-Energi A/S, kontrol af, at oplysninger ikke var tilgængelige i Google, Bing og Yahoo, gennemgang af logs, briefing af medarbejdere med gennemgang af retningslinjer for omgang med kodeord, samt at der den 23. august 2013 er fastsat en IT Security Policy, der bl.a. indeholder afsnit om ”Password policy” og ”Password protection”.
Datatilsynet skal generelt opfordre Natur-Energi A/S til i videst muligt omfang at tilrettelægge sikkerhedsforanstaltningerne omkring de behandlinger af personoplysninger, som Natur-Energi A/S er dataansvarlig for, i overensstemmelse med sikkerhedsbekendtgørelsen for den offentlige forvaltning3.
Minimumskravene i sikkerhedsbekendtgørelsen omfatter bl.a. krav om fastsættelse af interne bestemmelser om sikkerhedsforanstaltninger jf. § 5 i sikkerhedsbekendtgørelsen, samt at disse interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold.
3. Optagelse af samtaler
Datatilsynet må lægge til grund, at der er sket optagelse af samtaler med kunder. Lydfilerne med disse optagelser har dog ikke været tilgængelige for uvedkommende via internettet.
Datatilsynet finder det meget beklageligt, at Natur-Energi A/S ikke før den ovennævnte sikkerhedsbrist oplyste kunderne om, at deres samtale med virksomheden blev optaget. Efter Datatilsynets opfattelse har Natur-Energi A/S herved forsømt den oplysningspligt, som følger af persondatalovens §§ 28 og 29.
Datatilsynet har noteret sig det oplyste om, at Natur-Energi A/S efterfølgende er begyndt at oplyse, at opkald til kundesupport optages til brug for kvalitetssikring, samt at der indhentes skriftligt samtykke fra medarbejderne i Natur-Energi A/S.
Datatilsynet forbeholder sig i øvrigt sin stillingtagen til Natur-Energi A/S’ behandling af optagelser med samtaler med kunderne i eventuelle fremtidige klage- eller tilsynssager.
4. Orientering af Energinet.dk
Datatilsynet sender kopi af dette brev til Energinet.dk. I den forbindelse skal det for god ordens skyld understreges, at Datatilsynet i denne sag ikke har undersøgt og taget stilling til, om Energinet.dk i forbindelse med udviklingen og opbygningen datahub’en har levet op til persondataloven og sikkerhedsbekendtgørelsen4.
5. Sammenfatning og afsluttende bemærkninger
Datatilsynet udtaler i denne sag alvorlig kritik af, at Natur-Energi A/S på en række punkter ikke har levet op til persondataloven. Natur-Energi A/S har ikke efterlevet reglen om sletning af oplysninger, når de ikke længere er nødvendige, har ikke haft truffet de fornødne sikkerhedsforanstaltninger, og har desuden forsømt oplysningspligten i forbindelse med optagelse af kundesamtaler.
I forhold til alle punkter har Datatilsynet samtidigt kunnet notere sig oplysningerne om en række skridt, som Natur-Energi A/S har taget for at rette op på forholdene. Tilsynet er umiddelbart tilfreds med Natur-Energi A/S’s håndtering af sagen.
Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
Tilsynet betragter hermed denne sag for afsluttet.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
3 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
4 Sikkerhedsbekendtgørelsen gælder for de behandlinger af personoplysninger, som Energinet.dk som offentlig myndighed er dataansvarlig for.