Datatilsynet riktar kritik mot Mindworking A/S för att inte ha behandlat personuppgifter i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet fattat beslut i ett ärende där Mindworking, som personuppgiftsbiträde och leverantör av en plattform för fastighetstransaktioner, inte säkerställt att obehöriga, genom att inspektera källkoden (XML-koden), fått tillgång till personuppgifter på plattformen. Enligt Datatilsynet har myndigheten under en tid mottagit ett stort antal anmälningar om personuppgiftsincidenter från fastighetsmäklare som hade använt plattformen i sin verksamhet. Mot denna bakgrund beslutade Datatilsynet att på eget initiativ inleda ett ärende mot Mindworking.
Den information som kunde nås på plattformen var den information som den enskilda mäklaren kopplat till en specifik fastighet som var till salu. Detta inkluderade namnen på potentiella köpare och det pris de erbjudit för fastigheten, samt dokument som innehöll personuppgifter. Det rörde sig exempelvis om utkast till köpeavtal som, förutom olika identitetsuppgifter, i vissa fall även innehöll personnummer. En del av personuppgifterna var redan offentliggjord information från fastighetsregistreringsportaler.
Informationen kunde nås av användare som var knutna till specifika försäljningsärenden och efter inloggning med användarnamn och lösenord. Användaren kunde få tillgång till informationen genom att trycka på en funktionsknapp och aktivera så kallade “Dev tools”.
Datatilsynet anser att personuppgifter i allmänhet inte får förekomma i källkoden eller i kommentarfälten i displaylagret. Detta gäller även information som inte är personuppgifter, men som kan äventyra säkerheten vid behandlingen, till exempel om det är möjligt att i klartext se hanteringsparametrarna för tjänster, certifikat eller liknande.
Datatilsynet anser vidare att det inte kan anses vara en säkerhetsåtgärd att tillgången till informationen kräver att den enskilde användaren aktiverar “Dev Tools” i webbläsaren. Vidare är det Datatilsynets uppfattning att funktionaliteten att använda den aktuella funktionstangenten är en allmänt känd process för att inspektera källkoden som inte kräver särskild kompetens inom IT-säkerhet.
Datatilsynet konstaterar att Mindworking, borde ha utfört relevanta tester av plattformen innan den togs i drift, eftersom detta är ett känt och elementärt fel som lätt kunde och borde ha undvikits. Mindworking har enligt Datatilsynet således brutit mot artikel 32 GDPR genom att inte ha vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som är förenade med behandlingen av personuppgifter.