Den danska dataskyddsmyndigheten Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Designbysi ApS behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Designbysi anmält en personuppgiftsincident till Datatilsynet efter att företaget utsatts för en hackerattack där obehöriga lagt in ett JavaScript på företagets webbshop för att samla in kunders kortinformation. JavaScriptet gjorde att kunderna fick ett felmeddelande vid köpet, varefter de ombads ange sina kortuppgifter en gång till.
Under Datatilsynets granskning konstaterades att Designbysi endast infört tvåfaktorsautentisering för administrativa rättigheter till webshopen och domänen efter hackerattacken, och att sex anställdas inloggningsuppgifter gett tillgång till ändring i betalningsskriptet.
Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.
Datatilsynet anser att kravet enligt artikel 32 GDPR på ändamålsenlig säkerhet normalt kommer att innebära att inloggningsinformation som ger tillgång till betalningsinformation eller möjlighet att ändra betalningsskript ska säkras mot att hackare kan komma åt informationen med ett användarnamn och lösenord, exempelvis från en nätfiskeattack. Det är således Datatilsynets bedömning att det är en lämplig säkerhetsåtgärd att implementera tvåfaktorsautentisering på sådana inloggningsuppgifter. Datatilsynet anser dessutom att tillgång till betalningsmoduler och ändringsrättigheter till domänen generellt sett bör begränsas till ett särskilt namngivet konto som används enbart för detta ändamål och ett lämpligt komplext lösenord med samtidig tvåfaktorsautentisering.
På grundval av ovanstående anser Datatilsynet att Designbysi, genom att underlåta att utföra sådan tvåfaktorsautentisering, inte vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som Designbysis behandling av personuppgifter innebär. Datatilsynet anser därför att det finns skäl att framföra allvarlig kritik mot att Designbys behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.