Manglende kryptering på hjemmeside hos Nets

Publiceret 28-04-2014
Historisk afgørelse Private virksomheder

Journalnummer: 2013-217-0345

Datatilsynet vender hermed tilbage til sagen, hvor Klager [navn og adresse udeladt], den 26. februar 2013 har klaget over Nets Danmark A/S’ (herefter Nets) manglende kryptering på hjemmeside med en kontaktformular, som skulle bruges til fremsendelse af identifikationsdokumenter med bl.a. personnumre, herunder pas, kørekort, sygesikringsbevis eller skatteopgørelse. Klager har bl.a. oplyst, at han inden klagen til Datatilsynet mundtligt og skriftligt havde gjort indsigelser overfor Nets, som imidlertid havde afvist at ændre praksis.

Efter anmodning fra Datatilsynet er Nets kommet med udtalelser til sagen. Klager har haft lejlighed til at kommentere disse.

I et svar af 7. maj 2013 har Nets bl.a. oplyst, at virksomheden i februar 2013 oprettede hjemmesiden www.nets.eu/aml med det formål, at virksomhederne kunne uploade oplysninger (relevant dokumentation for virksomheders reelle ejere). I forbindelse med Datatilsynets henvendelse har Nets konstateret, at opsætningen af den pågældende hjemmeside ved en fejl ikke var blevet sat op til at kryptere korrekt. Nets har derfor med stor beklagelse meddelt tilsynet, at overførsel af oplysninger og pdf dokumenter indeholdende personnumre via den pågældende hjemmeside derfor er sket ukrypteret.

Efter yderligere kommentarer fra klager har Nets den 14. juni 2013 bekræftet, at hjemmesiden som anført af klager har været krypteret med protokollen SSL version 2.0. Nets underleverandør har pr. 31. maj 2013 foretaget en ændring af krypteringsversionen, så denne er opdateret til SSL 3.0 og TLS 1.0 samt foretaget en fornyet sikkerhedsanalyse.

Datatilsynet må lægge til grund, at oplysninger om identitetsdokumenter med bl.a. personnumre er blevet overført ukrypteret via internettet i forbindelse med, at Nets har bedt virksomhederne anvende den omhandlede hjemmeside. Nets’ behandling af oplysningerne har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.

Datatilsynet må desuden lægge til grund, at klager havde gjort Nets opmærksom på problemet inden klagen til Datatilsynet, men at Nets først i forbindelse med klagesagens behandling har undersøgt sagen og taget skridt til afhjælpning af fejlen.

Samlet set finder Datatilsynet derfor det skete kritisabelt.

Datatilsynet kan herved også henvise til informationsteksten af 12. juli 2007 på Datatilsynets hjemmeside1, hvor tilsynets faste krav om kryptering, når personnumre overføres via hjemmesider, er beskrevet.

Afsluttende bemærkninger

Datatilsynet skal for god ordens skyld understrege, at tilsynet ikke har kompetence til at vurdere, hvorvidt Nets har handlet i overensstemmelse med eventuelle relevante regler i den finansielle lovgivning.

Datatilsynet skal beklage den lange sagsbehandlingstid, som skyldes travlhed i tilsynet.

Kopi af dette brev er dags dato sendt til Klager.

Det skal for god ordens skyld oplyses, at Datatilsynet vil overveje at offentliggøre denne afgørelse.

 

1 www.datatilsynet.dk/erhverv/internettet/krav-og-anbefalinger-ifm-overfoersel-af-personoplysninger-via-internettet/