Datatilsynet har fattat beslut om att rikta allvarlig kritik mot Jo:ga ApS då företaget inte vidtagit tillräckliga säkerhetsåtgärder vilket strider mot artikel 32.1 i dataskyddsförordningen (“GDPR”).
Granskningen inleddes efter att en medlem klagat på att lösenordet för inloggning på Jo:gas webbsida och app var medlemmens födelsedatum, och att det inte fanns några begränsningar för antalet inloggningsförsök. Enligt Datatilsynet har Jo:ga, genom att inte ha infört begränsningar för misslyckade inloggningsförsök, och genom att använda medlemmarnas födelsedatum som ett lösenord som inte kunde ersättas, inte hade vidtagit lämpliga säkerhetsåtgärder enligt artikel 32.1 GDPR.
Datatilsynet betonade att känd eller lättillgänglig information, till exempel ett födelsedatum, endast bör användas som ett initialt lösenord, som sedan måste ändras. Datatilsynet betonade också att de otillräckliga säkerhetsåtgärderna gjort det möjligt för obehöriga att få tillgång till medlemmarnas personuppgifter.
Datatilsynet kritiserade mot denna bakgrund att Yo:gas behandling av personuppgifter inte skett i enlighet med reglerna om säkerhet vid behandling av personuppgifter. Datatilsynet beordrade också Jo:ga att anpassa behandlingen av personuppgifter till gällande dataskyddsregler, genom att vid första inloggningen tvinga Jo:gas nuvarande och nya medlemmar att ändra sina lösenord till ett nödvändigt säkert lösenord, där krav ställs på lösenordets komplexitet.
Yo:ga har den 13 oktober 2021 uppgett att de har följt Datatilsynets beslut.