Links skal være tilstrækkeligt komplekse

Dato: 14-06-2024

Datatilsynet får jævnligt – og så sent som i denne uge – anmeldelser af brud på persondatasikkerheden, hvor uvedkommende tilgår personoplysninger ved at manipulere links, som udsendes af virksomheder eller myndigheder.

Disse links bliver f.eks. udsendt til kunder via SMS med henblik på, at kunden bekræfter sin e-mailadresse eller lignende, men af og til fremgår der personoplysninger som f.eks. navn eller tidligere e-mailadresse, hvis man følger linket. Derfor er det vigtigt, at links er tilstrækkeligt komplekse, så de ikke kan manipuleres af uvedkommende til at tilgå personoplysninger ved eksempelvis at skifte bogstaver eller tal i URL'en ud. Et link, hvor den unikke del består af seks tegn, vil som udgangspunkt ikke være tilstrækkeligt komplekst.

Hvis man som dataansvarlig bruger løsninger, hvor man udsender links, skal man derfor sørge for, at links er tilstrækkeligt komplekse – og man kan i den forbindelse med fordel overveje at anvende en standard som UUID til dannelse af tilpas komplekse links.