Webshop fik påbud om at underrette kunder om brud på persondatasikkerheden

Datatilsynet har påbudt en netbutik at orientere alle kunder i en kundedatabase om fundet af et sikkerhedshul. Der var en risiko for, at nogen kunne have fået kendskab til oplysninger om personer med beskyttede adresser, vurderer Datatilsynet.

Baggrunden er, at en person meddelte en webshop, at personen havde fundet et sikkerhedshul i webshoppens kundedatabase. Personen beskrev bl.a., hvordan hullet var fundet, og gjorde det samtidig klart, at han ikke havde onde hensigter med sin opdagelse.

Webshoppen lukkede straks hullet og anmeldte databruddet til Datatilsynet.

Netbutikken vurderede, at databruddet ikke indebar ”en høj risiko for kundernes rettigheder og frihedsrettigheder”, da det krævede ekstrem stor teknisk viden at finde hullet, og da oplysningerne, som personen og evt. andre kunne have opnået adgang til, alene bestod i oplysninger om navn, adresse, e-mailadresse og ordrehistorik på kunder. Derfor besluttede netbutikken, at den ikke ville orientere kunderne om, at der havde været et sikkerhedshul.

Det var Datatilsynet ikke enig i.

Der var efter Datatilsynets opfattelse en potentiel risiko for, at der var et ikke uvæsentligt antal kunder med adressebeskyttelse i kundedatabasen, som var temmelig stor. Beskyttede adresser udgør efter Datatilsynets opfattelse en gruppe af oplysninger, hvor risikoen for den registrerede er betydelig for fx freds- og ærekrænkelser, for trusler og for at blive opsøgt på bopælen. Datatilsynet lagde også vægt på, at der var tale om et stort antal kunder, at webshoppen ikke kunne sige, hvor længe hullet havde været der, og at webshoppen ikke med sikkerhed kunne sige, om der havde været uautoriseret adgang til oplysningerne.

Derfor fik webshoppen et påbud om at orientere alle kunder om bl.a. databruddet, og de sandsynlige konsekvenser af bruddet for persondatasikkerheden.

Læs mere om håndtering af brud på persondatasikkerheden

Håndtering af brud på persondatasikkerheden.pdf (datatilsynet.dk)