Sikkerhedsbrud hos ZOO

Publiceret 04-12-2020

Datatilsynet udtaler alvorlig kritik af, at det bl.a. var alt for let for at få uretmæssig adgang til personoplysninger om årskortholderne hos Zoologisk Have i København.

På baggrund af et anmeldt brud på persondatasikkerheden hos Zoologisk Have i København (ZOO) udtaler Datatilsynet nu alvorlig kritik. Det tekniske setup af loginsiden for årskortholdere gjorde det nemt for uvedkommende at få adgang til andres personoplysninger. Derudover var der unøjagtigheder i kommunikationen i forbindelse med det bruddet på persondatasikkerheden.

ZOO har fået påbud om at berigtige den ufyldestgørende information til alle registrerede og påbud om at informere de registrerede om bruddet i de tilfælde, hvor der er en høj risiko.

Afgørelsen er truffet, fordi Datatilsynet fandt, at det ikke var tale om passende sikkerhed, da det havde været alt for nemt at opnå uautoriseret adgang til årskortholderes personoplysninger. Login for årskortholdere var en kombination af to numeriske værdier uden begrænsning i antallet af loginforsøg.

Kritikken går endvidere på, at ZOOs beskrivelse til Datatilsynet og i kommunikationen med de registrerede af de foranstaltninger, ZOO traf for at håndtere bruddet, ikke var retvisende i forhold til, hvad ZOO reelt gjorde og Datatilsynets opfattelse af risikoscenarierne.

Datatilsynet fandt herudover, at ZOO ikke havde underrettet de registrerede (årskortholderne), for hvem der var en høj risiko, og at den information, der i øvrigt blev givet generelt, ikke var retvisende og ikke angav sandsynlige konsekvenser, risikoscenarier eller varigheden af bruddet. Derfor hjalp kommunikationen ikke de registrerede med at vurdere, hvilke forholdsregler de eventuelt skulle tage for at beskytte sig selv.

Vil du vide mere?

Læs selve afgørelsen her.

Læs Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.

Spørgsmål fra journalister om afgørelsen kan rettes til Anders Due på tlf. 29 49 32 83 eller ad@datatilsynet.dk.