Datatilsynet har truffet afgørelse i en sag, hvor Mindworking A/S, som databehandler og leverandør af en platform til ejendomshandler, ikke havde sikret sig mod, at uvedkommende – ved inspektion af kildekoden (XML-koden) – kunne tilgå personoplysninger på platformen.
Brud på persondatasikkerheden
De oplysninger, der kunne tilgås på platformen, var de oplysninger, som den enkelte ejendomsmægler havde knyttet til en konkret ejendom, der var til salg. Der var bl.a. tale om navne på potentielle købere og den pris, de havde tilbudt for ejendommen, samt dokumenter med personoplysninger. Det var f.eks. udkast til købsaftaler, der - udover diverse identitetsoplysninger – i enkelte tilfælde også indeholdt cpr-numre. Enkelte af personoplysningerne var allerede offentliggjorte oplysninger fra tinglysningsportaler.
Oplysningerne kunne tilgås af brugere, der var tilknyttet konkrete salgssager, og efter de var logget ind med et brugernavn og adgangskode. Brugeren kunne få adgang til oplysningerne ved at trykke på en funktionstast og aktivere såkaldte ”Dev tools”.
Mangel på relevante tests
Datatilsynet slår i afgørelsen fast, at der generelt ikke i kildekoden eller i visningslagets kommentarfelter skal fremgå personoplysninger. Dette gælder også for oplysninger, der ikke er personoplysninger, men som vil kunne kompromittere behandlingssikkerheden - f.eks. hvis det er muligt i klar tekst at se styringsparametre på services, certifikater eller lignende.
Datatilsynet slår endvidere fast, at det ikke er at betragte som en sikkerhedsforanstaltning, at adgang til oplysningerne krævede, at den enkelte bruger skulle aktivere ”Dev Tools” i browseren.
Det er Datatilsynets opfattelse, at funktionaliteten ved at benytte den pågældende funktionstast er en almindelig kendt proces for inspiceringen af kildekoden, der ikke kræver særlige kompetencer inden for it-sikkerhed.
Datatilsynet konkluderede, at databehandleren burde have gennemført relevante tests af platformen før ibrugtagningen, da der er tale om en kendt og elementær fejl, som let kunne og burde være undgået. Dermed havde Mindworking A/S, som databehandler, overtrådt forordningens artikel 32 ved ikke at have truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved behandlingen af personoplysningerne.
Vil du vide mere?
Læs hele afgørelsen her.
Læs også om, hvordan du beskytter personoplysninger.