Dataskyddsmyndigheten i den tyska delstaten Niedersachsen, Die Landesbeauftragte für den Datenschutz Niedersachsen (“LfD Niedersachsen”), har bötfällt en webbshop med 65 000 euro för användning av föråldrad programvara och osäkra metoder för att skydda kundernas lösenord, vilket innebar brott mot artiklarna 25 och 32 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att webbshopen använt en programvara för vilken supporten upphört 2014, vilket innebar att programvaran inte fått några säkerhetsuppdateringar sedan dess. Leverantören till programvaran hade tidigare varnat sina kunder för att fortsätta med att använda mjukvaran, särskilt mot bakgrund av tekniska sårbarheter som möjliggjorde SQL-injektionsattacker (hackarattacker som möjliggör tillgång till all data i en databas). Trots detta fortsatte webbshopen med att använda programvaran.
Vidare använde webbshopen en osäker metod för att kryptera kundernas lösenord. Lösenorden skyddades visserligen av hashning (en enkelriktad omvandling av lösenord från klartext till en kod), men hashfunktionen som användes (MD5) var inte tillräckligt säker för att skydda lösenord (då klartexten kan räknas ut på ett relativt enkelt sätt, se till exempel här). Därutöver använde webbshoppen hasfunktionen utan salt (en hemlig kod som ska försvara att framräknandet av hashens klartext), vilket rekommenderas för att skydda användares lösenord i webbapplikationer.
LfD Niedersachsen konstaterade att bristerna utgjorde ett brott mot såväl artikel 25 GDPR (inbyggt dataskydd) och artikel 32 GDPR (krav på lämpliga säkerhetsåtgärder). Tillsynen av webbshopen inleddes i samband med en anmälan av en personuppgiftsincident som innebar att webbshoppens kunder fick byta sina lösenord.
Tillsynsbeslutet förtydligar vikten av att beakta den senaste tekniska utvecklingen vid en bedömning av säkerhetsåtgärders lämplighet. Att behandla personuppgifter med föråldrad programvara och föråldrade metoder motsvarar inte den senaste tekniska utvecklingen. Beslutet visar även att säkerhetskraven som ställs i GDPR är tämligen höga och att bristande regelefterlevnad kan innebära påtagliga ekonomiska konsekvenser för näringsidkare och andra organisationer som behandlar personuppgifter. Enligt GDPR kan otillräckliga tekniska och organisatoriska säkerhetsåtgärder leda till sanktionsavgifter på upp till 10 miljoner euro eller 2 % av årsomsättningen, beroende på vilket belopp som är högst (artikel 83.4 GDPR).