Datatilsynet förelägger PostNord AS att förbättra säkerheten för tjänsten mypostnord. Bakgrunden till beslutet är att Datatilsynet genomfört ytterligare granskningar om säkerheten för tjänsten mypostnord efter att myndigheten tagit emot två anmälan om personuppgiftsincidenter från PostNord och tips från allmänheten. Tjänsten mypostnord är framtagen för privatkunder som använder PostNords så kallade speditionstjänster. Syftet med tjänsten är att ge kunden en överblick över försändelser på väg till eller från dem.
Hittills har PostNord enligt Datatilsynet använt ett telefonnummer som enda autentisering för användare när de öppnar tjänsten. Konsekvensen av detta är enligt myndigheten att personer som får ett nytt telefonnummer genom direktförsäljning eller tilldelning från teleoperatörerna får tillgång till mypostnord-profilen för den tidigare ägaren av telefonnummer. Detta inkluderar bland annat tillgång till namn, adress och i vissa fall information om paket på väg.
Enligt Datatilsynet är uppgifter från spedition och posttjänster privata, och obehöriga får inte ha tillgång till den. Som speditionsföretag har PostNord tystnadsplikt enligt norska postlagen, och har en sekretessplikt i tjänsten enligt dataskyddsförordningen (GDPR).
PostNord har enligt Datatilsynet tagit myndighetens utredning på allvar, och har informerat Datatilsynet om att de kommer att vidta åtgärder för att förhindra att nya ägare av telefonnummer får tillgång till den tidigare ägarens uppgifter hos PostNord.
Datatilsynets föreläggande innebär att PostNord ska vidta åtgärder i enlighet med artikel 32 GDPR för att säkerställa att obehöriga inte får tillgång till personuppgifter i tjänsten. PostNord har tre veckor på sig att överklaga beslutet. PostNord har sedan fyra veckor på sig att genomföra åtgärder och dokumentera dessa till Datatilsynet.