Ny afgørelse

Utilstrækkelige sikkerhedsforanstaltninger hos T. Hansen

Dato: 15-11-2021
Nyhed

Datatilsynet har udtalt kritik af, at kundeprofiler hos T. Hansen ikke har haft passende sikkerhedsforanstaltninger - og har givet virksomheden et påbud om kryptering af kundernes passwords.

En kunde hos T. Hansen Gruppen A/S har klaget til Datatilsynet over, at virksomheden ikke har haft passende sikkerhedsforanstaltninger.

Klageren i sagen har haft en kundeprofil, hvor kundenummeret har været enslydende med klagers telefonnummer. Klager udskiftede på et tidspunkt sit telefonnummer, mens en uvedkommende person for klager overtog klagers tidligere telefonnummer. Da den uvedkommende person herefter foretog køb hos T. Hansen, blev klagers og personens oplysninger sammenlagt på klagers kundeprofil. Den uvedkommende person har i en periode haft adgang til klagers oplysninger og adgang til at få tilsendt klagers password i klartekst.

Datatilsynet udtalte kritik af, at T. Hansen ikke har levet op til kravene i databeskyttelsesforordningen om passende sikkerhedsforanstaltninger og anmeldelse af brud på persondatasikkerheden.

Dette begrundede Datatilsynet med, at T. Hansen ved udvikling af sit system ikke havde taget højde for, at kunders oplysninger kan risikere at blive sammenlagt, eksempelvis som følge af, at et telefonnummer overgår fra en person til en anden.

Det er Datatilsynets opfattelse, at genbrug af telefonnumre er et normalt forekommende og forventeligt scenarie, hvorfor det skulle have indgået ved fastlæggelsen af de relevante sikkerhedsforanstaltninger.

Påbud om kryptering af passwords

Datatilsynet har derudover lagt vægt på, at T. Hansen i sit system har opbevaret brugernes selvvalgte passwords i klartekst uden en anerkendt algoritme til en irreversibel kryptering heraf, og at T. Hansen har haft en funktion, hvor brugere har kunnet få tilsendt passwords i klartekst til brugerens angivne e-mailadresse efter anmodning, uagtet at T. Hansen ikke har foretaget en risikovurdering.

På den baggrund har Datatilsynet givet T. Hansen et påbud om at anvende en anerkendt algoritme til kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gendannes i klartekst. T. Hansen har den 4. november 2021 oplyst, at de har efterkommet påbuddet.

Læs mere?

Læs selve afgørelsen her.

Du kan læse mere om sikkerhed her.

Du kan også læse om risikovurdering her. 

Vil du hellere lytte end at læse?

Du kan høre vores podcast om sikkerhedsbrud her og om risikovurdering her