Pas på med at udlevere persondata telefonisk

En bilists ekskæreste fik telefonisk udleveret persondata fra BroBizz A/S under foregivelse af, at hun fortsat var kæreste.

Af Sven Petersen, Erhvervsjuridisk fagchef

Datatilsynet har behandlet tre sager på baggrund af, at BroBizz A/S selv havde anmeldt, at der i forbindelse med virksomhedens besvarelse af kundehenvendelser indenfor knap to måneder var blevet videregivet personoplysninger – herunder oplysninger om lokation – til uvedkommende. BroBizz slap med at få alvorlig kritik fra Datatilsynet.

Den første sag
Den første sag handlede om, at en bilistens ekskæreste B ringede til BroBizz og foregav fortsat at være kæreste til føreren af bilen (A). B oplyste A´s telefonnummer og fik bekræftet, at der havde været 2 personer i den af A kørte bil. A udtrykte efterfølgende sin utilfredshed med forløbet hos BroBizz.

Den anden sag
Det fremgår af anmeldelsen, at BroBizz blev bekendt med, at en kundeservice-medarbejder på anmodning af ForSea Helsingborg AB på vegne af Kunde A ved en fejl opdaterede Kunde A’s e-mailadresse med Kunde B’s e-mailadresse, og efterfølgende fremsendte en ny kode til den opdaterede e-mailadresse, hvorefter Kunde A havde adgang til Kunde B’s konto. Årsagen til det passerede var en menneskelig fejl hos BroBizz, da medarbejderen havde flere kundevinduer åben på skærmen.

Den tredje sag
Kunde A henvendte sig via formular i BroBizz IT system hvor denne anmodede om opdatering af e-mail adresse på et kundenummer som denne angiveligt troede var sit eget, men viste sig at være Kunde B's kundenummer. I den forbindelse blev BroBizz interne valideringsprocedure ikke overholdt, da BroBizz ikke fik oplyst minimum to oplysninger, der kunne verificere kunden, hvorefter at kundeservicemedarbejderen opdaterede e-mailadressen under det forkerte kundenummer. Kunde A bestilte herefter et nyt password, som sendtes til den netop opdaterede e-mail adresse.

Herefter kunne kunde A logge ind på Kunde B's konto, hvilket denne gjorde og opdaterede det tilknyttede kreditkort til sit eget kreditkort. Senere på dagen konstateres fejlen, og Kunde B konto blev spærret, således at det kun var Kunde B, der kunne logge på.

På baggrund af de anmeldte brud bad Datatilsynet bl.a. BroBizz fremsende deres risikovurdering for verificering af kunder og en række kopier af virksomhedens specifikke procedurer og instrukser, herunder særligt omhandlende identiteten af fysiske personer, der anmoder om indsigt.

Ikke tilstrækkelig træning af medarbejdere i at passe på persondata
Datatilsynet lagde i afgørelsen vægt på, at samme type hændelse var sket tre gange inden for kort tid, og sagerne var derfor udtryk for, at BroBizz’ interne procedurer og instrukser enten ikke var tilstrækkelige, eller at medarbejderne ikke i tilstrækkelig grad var bekendt hermed.

Datatilsynet lagde videre vægt på, at der ikke eksisterede tilstrækkelig uddannelse og træning af medarbejderne i databeskyttelse, herunder behandlingssikkerhed. De tiltag, der efter det oplyste var blevet foretaget, nemlig, at forskellige medarbejdere havde gennemgået ét kursus siden den 25. maj 2018 (hvor GDPR trådte i kraft), at medarbejdere i kundeservice var blevet introduceret til relevante persondataretlige problemstillinger i forbindelse med deres ansættelsesstart, og at den løbende uddannelse foregik på ad hoc basis, er efter Datatilsynets opfattelse ikke tilstrækkelige.

Dette bekræftes af, at Brobizz på to en halv måned havde videregivet oplysninger til uvedkommende i tre tilfælde.

Sluttelig bemærkede Datatilsynet til den første sag, at personoplysninger om lokation indebar en forholdsvis høj risiko for den registreredes rettigheder, da eksponering af oplysningerne kunne indebære en integritetskrænkelse for den berørte.
Du kan læse mere om afgørelsen her: Datatilsynet - risikovurdering ved videregivelse af personoplysninger