Danmark, Dataskydd

Danmark: Datatilsynet uttrycker kritik mot T. Hansen för otillräckliga säkerhetsåtgärder

November 18, 2021

Datatilsynet har fattat beslut om att rikta kritik mot T. Hansen Gruppen A/S då företaget inte vidtagit tillräckliga säkerhetsåtgärder vid behandling av personuppgifter vilket strider mot artikel 32.1 i dataskyddsförordningen (GDPR). T. Hansen har enligt Datatilsynet inte heller har anmält den inträffade händelsen i enlighet med kraven i artikel 33.1 GDPR.

Av beslutet framgår att Datatilsynet inlett granskningen som följd av ett klagomål från en kund om att en annan kund fått obehörig tillgång till hans personuppgifter på grund av det sätt på vilket kundprofiler hade upprättats av företaget. Datatilsynet konstaterade i samband med granskningen att detta lett till att båda kundernas information kombinerats under samma profil, vilket möjliggjorde obehörig tillgång till klagandens personliga information, inklusive hans lösenord.

Enligt Datatilsynet har T. Hansen inte vidtagit tillräckliga säkerhetsåtgärder vid behandlingen av personuppgifter i samband med kundernas profiler enligt artikel 32.1 GDPR då företaget vid utvecklingen av sitt system inte tagit hänsyn till att kundernas information kan riskera att samlas, till exempel till följd av att ett telefonnummer överförts från en person till en annan. Återanvändning av telefonnummer är enligt Datatilsynet ett normalt förekommande och förväntat scenario, varför det borde ha ingått i fastställandet av lämpliga säkerhetsåtgärder.

Datatilsynet konstaterar vidare att T. Hansen har lagrat användarnas självvalda lösenord i klartext i sitt system utan en erkänd algoritm för en oåterkallelig kryptering av dessa, samt att T. Hansen har haft en funktion där användarna har varit kunna ta emot lösenord i klartext till användarens angivna e-postadress på begäran, trots att T. Hansen inte gjort en riskbedömning.

Mot denna bakgrund har Datatilsynet gett T. Hansen en föreläggande om att använda en erkänd algoritm för kryptering (t.ex. hash) av alla lösenord, så att dessa inte lagras eller kan återställas i klartext.

T. Hansen har den 4 november 2021 meddelat Datatilsynet att de har följt myndighetens föreläggande.

Taggar: Informationssäkerhet, Personuppgiftsincident

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR, art. 33 GDPR

Sanktionsavgift: N/A

Mottagare: T. Hansen Gruppen A/S

Beslutsnummer: 2021-31-4596

Beslutsdatum: 2021-11-15

Källa: Beslut

Danmark: Datatilsynet uttrycker kritik mot T. Hansen för otillräckliga säkerhetsåtgärder

Mer information

Relaterade nyheter

Spanien: Sindicato Aragonés de Transporte bötfälls med 3 000 euro för att ha publicerat personuppgifter på webbplats och i sociala medier

Italien: Giessegi Industria Mobili bötfälls med 50 000 euro för flera överträdelser av GDPR

Sverige: Kamerabevakning ska bli enklare för kommuner och regioner

Aktuellt: Extrainsatt kurstillfälle för distanskurs om molntjänster och tredjelandsöverföringar

Irland: Centric Health bötfälls med 460 000 euro för otillräckliga säkerhetsåtgärder

Spanien: Privatperson bötfälls med 5 000 euro för att ha skickat ett e-postmeddelande i en öppen distributionslista

Tyskland: Företag får reprimand för olaglig behandling av personuppgifter och överträdelser av registrerades rättigheter

Spanien: Privatperson bötfälls med 480 euro för otillåten kamerabevakning av grannfastighet

Norge: Argon Medical Devices bötfälls med 2,5 miljoner norska kronor för sen anmälan av personuppgiftsincident

Österrike: Domstolen anser att rätten till radering är en personlig rättighet och därför icke-överförbar

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Juridik

Hitta snabbt

Kontakt

Prenumerera på vårt nyhetsbrev

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

20 APR

Privacy by Design & Privacy by Default

27 APR

Informationssäkerhet & personuppgifter