Danmark: Datatilsynet uttrycker kritik mot Jo:ga för otillräckliga säkerhetsåtgärder

Datatilsynet har fattat beslut om att rikta allvarlig kritik mot Jo:ga ApS då företaget inte vidtagit tillräckliga säkerhetsåtgärder vilket strider mot artikel 32.1 i dataskyddsförordningen (“GDPR”).

Granskningen inleddes efter att en medlem klagat på att lösenordet för inloggning på Jo:gas webbsida och app var medlemmens födelsedatum, och att det inte fanns några begränsningar för antalet inloggningsförsök. Enligt Datatilsynet har Jo:ga, genom att inte ha infört begränsningar för misslyckade inloggningsförsök, och genom att använda medlemmarnas födelsedatum som ett lösenord som inte kunde ersättas, inte hade vidtagit lämpliga säkerhetsåtgärder enligt artikel 32.1 GDPR.

Datatilsynet betonade att känd eller lättillgänglig information, till exempel ett födelsedatum, endast bör användas som ett initialt lösenord, som sedan måste ändras. Datatilsynet betonade också att de otillräckliga säkerhetsåtgärderna gjort det möjligt för obehöriga att få tillgång till medlemmarnas personuppgifter.

Datatilsynet kritiserade mot denna bakgrund att Yo:gas behandling av personuppgifter inte skett i enlighet med reglerna om säkerhet vid behandling av personuppgifter. Datatilsynet beordrade också Jo:ga att anpassa behandlingen av personuppgifter till gällande dataskyddsregler, genom att vid första inloggningen tvinga Jo:gas nuvarande och nya medlemmar att ändra sina lösenord till ett nödvändigt säkert lösenord, där krav ställs på lösenordets komplexitet.

Yo:ga har den 13 oktober 2021 uppgett att de har följt Datatilsynets beslut.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Jo:ga ApS

Beslutsnummer: 2020-31-4326

Beslutsdatum: 2021-10-20

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.