Sikkerhedsbrist hos Berlingske Media A/S

Publiceret 28-05-2009
Historisk afgørelse Private virksomheder

Journalnummer: 2009-631-0068

Datatilsynet blev den 2. februar 2009 bekendt med, at der havde været en sikkerhedsbrist hos Berlingske Media A/S, og tilsynet anmodede ved brev af 3. februar 2009 Berlingske Media A/S om en udtalelse. Berlingske Media A/S er ved e-post af 20. februar 2009 fremkommet med en udtalelse i sagen.
Ved e-post af 16. marts 2009 har Berlingske Media A/S fremsendt en kopi af virksomhedens underretning af brugerne af Spilop.dk.

Det fremgår herefter af sagen, at der den 23. december 2008 opstod en sikkerhedsbrist i forbindelse med en opdatering af Berlingske Media A/S' system.

Sikkerhedsbristen medførte, at man ved at søge på Googles søgemaskine kunne se oplysninger om brugere af Spilop.dk, som er en del af Berlingske Media A/S' system, og oplysninger om personer, der havde benyttet sig af kampagnetilbud fra Berlingske Media A/S. Som følge af fejlen blev et directory utilsigtet eksponeret.

Sikkerhedsbristen betød, at oplysninger om navne, adresser, telefonnumre, e-postadresser samt brugernavne og adgangskoder for personer, der havde tilmeldt sig som brugere af Spilop.dk, var eksponeret. For modtagere af kampagnetilbud fra Berlingske Tidende blev oplysninger om fornavne, og i visse tilfælde efternavne, samt postnumre offentliggjort.

Berlingske Media A/S har oplyst, at ca. 300 brugere af Spilop.dk og 327 modtagere af Berlingske Tidendes kampagnetilbud har været berørt af sikkerhedsbristen. Endvidere har Berlingske Media A/S oplyst, at et ukendt antal af personer kan være berørt som følge af Googles lagring af forskellige filer fra directoryet i perioden fra den 23. december 2008 til den 2. februar 2009.

Ifølge Berlingske Media A/S' logfiler har oplysningerne været tilgået 13 gange, fra 3 forskellige IP-adresser, foruden Googles robotter. Én af IP-adresserne tilhører en privat TDC kunde i Danmark, de to øvrige IP-adresser tilhørte Berlingske Media A/S og Berlingske Media A/S' systemleverandør. Herudover kan et ukendt antal personer have haft adgang til oplysningerne i perioden mellem den 23. december 2008 og den 2. februar 2009, som følge af Googles lagring.

Berlingske Media A/S blev klar over sikkerhedsbristen, da selskabet den 29. december 2008 blev kontaktet af en bruger af Spilop.dk. Berlingske Media A/S' systemleverandør kontaktede Google for at få fjernet oplysningerne fra Google. Berlingske Media A/S gik herefter ud fra, at fejlen var rettet.

Den 2. februar 2009 blev Berlingske Media A/S klar over, at en anden del af systemet var blevet eksponeret, og Datatilsynet blev informeret om sikkerhedsbristen.

Denne sikkerhedsbrist blev straks afhjulpet, herunder blev filerne slettet fra serveren og oplysningerne fjernet fra Google. Alle servere blev undersøgt for at sikre, at der ikke var oversete filer, og der blev foretaget en sikkerhedsgennemgang af hele systemet med henblik på at undersøge om der var andre potentielle sikkerhedsbrist, hvorefter alle servere blev opdateret.

Endvidere kontaktede Berlingske Media A/S på baggrund af sikkerhedsbristen et IT-sikkerhedsfirma, som vil fortage en sikkerhedsskanning af systemet hos Berlingske Media A/S's systemleverandør.

Som følge af sikkerhedsbristen har Berlingske Media A/S i et nyhedsbrev til brugere af Spilop.dk orienteret om, at virksomheden har haft en sikkerhedsbrist i sit system. Det fremgår af nyhedsbrevet, at der tale om en beklagelig fejl, som er blevet rettet, og det anbefales, at brugerne løbende udskifter deres adgangskode.

Berlingske Media A/S vil ikke kontakte modtagere af kampagnetilbud, da det ifølge virksomheden ikke er muligt at identificer de omfattede personer individuelt, herunder fordi der i de fleste tilfælde alene fremgår oplysninger om fornavn og postnummer på modtagerne af kampagnetilbudene.

Endelig har Berlingske Media A/S bedt brugeren, der fandt fejlen, om med det samme at slette alle de data, som han har fået ud af systemet.

Med henblik på at forhindre lignende sikkerhedsbrister i fremtiden vil Berlingske Media, efter en gennemgang af hele systemet, udvikle og indarbejde en sikkerhedspolitik. Sikkerhedspolitikken vil indebære, at systemet bliver testet regelmæssigt med henblik på at identificere eventuelle svagheder i forhold til sikkerheden, og fjerne disse. Hos Berlingske Media A/S' systemleverandør vil udveksling af data mellem systemer i mindst muligt omfang basere sig på filer, og hvor dette er nødvendigt, vil overførslerne kun ske ved brug af sikker FTP til en beskyttet folder, som gør det umuligt at lægge filer ud på www.

Datatilsynet skal herefter udtale følgende:

Lovens § 41, stk. 3, foreskriver, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

Det er Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for omfattende videregivelse af fortrolige eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af virksomhedens systemer

Datatilsynet finder sikkerhedsbristen meget beklagelig

Datatilsynet lægger på baggrund af det oplyste til grund, at det som følge af en sikkerhedsbrist har været muligt at se oplysninger om brugere af Spilop.dk, som er en del af Berlingske Media A/S' system, herunder oplysninger om navne, adresser, telefonnumre, e-postadresser samt brugernavne og adgangskoder.

Dermed har Berlingske Media A/S ikke levet op til kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.

Datatilsynet har noteret sig det oplyste om, at Berlingske Media A/S den samme dag, selskabet blev gjort opmærksom på, at sikkerhedsbristen ikke var løst, rettede op på fejlen og at selskabet er i gang med at lave en sikkerhedsgennemgang af selskabets system, som skal føre til en ny sikkerhedspolitik. Datatilsynet skal anmode om at få sikkerhedspolitikken tilsendt, så snart den foreligger.

Endvidere har Datatilsynet noteret sig, at Berlingske Media A/S har bedt brugeren, der fandt fejlen, om med det samme at slette alle de data, som han har fået ud af systemet.

Underretning af de berørte personer og sletning fra Google

Hvis en virksomhed ved en fejl er kommet til at gøre oplysninger tilgængelige på internettet i strid med loven, skal virksomheden gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet" .

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været gjort tilgængelige ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af virksomhedens sider (cachen) og
i givet fald sørge for, at oplysningerne fjernes derfra.

Datatilsynet har noteret sig det oplyste om, at Berlingske Media A/S har underrette alle brugere af Spilop.dk om sikkerhedsbristen i et nyhedsbrev.

Datatilsynet har endvidere noteret sig oplysningerne om virksomhedens kontakt med Google med henblik på at få fjernet oplysningerne der.

Datatilsynet afventer at modtage sikkerhedspolitikken, så snart den foreligger.

Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.