Datatilsynet giver Nemlig.com påbud om at underrette registrerede med hemmelig adresse efter brud på persondatasikkerheden

Nemlig.com A/S anmeldte et brud på persondatasikkerheden til Datatilsynet, da utilstrækkelig adgangskontrol på en webbaseret rapportservice havde gjort ordreoplysninger tilgængelige på internettet. Bruddet omfattede ca. 250.000 kunder og inkluderede oplysninger som navn, adresse, kundenummer og ordreindhold.

Nemlig vurderede, at underretning af de registrerede ikke var nødvendig, da de mente, at bruddet ikke indebar en høj risiko for de berørte personers rettigheder eller frihedsrettigheder. De begrundede dette med, at der alene var tale om almindelige personoplysninger, at de ikke havde konstateret usædvanlig trafik eller uautoriseret adgang, og at de havde truffet de nødvendige tekniske og organisatoriske foranstaltninger for at afhjælpe hændelsen.

Datatilsynet var uenig i Nemligs vurdering og fandt, at der ikke var foretaget en tilstrækkelig vurdering af risikoen for de registreredes rettigheder, særligt i forhold til personer med hemmelige eller udeladte adresser. Tilsynet mente, at eksponering af sådanne oplysninger kunne have alvorlige konsekvenser, og at det høje antal registrerede gjorde det sandsynligt, at bruddet havde berørt nogen, hvor eksponering af deres adresse kunne have en høj konsekvens. Datatilsynet anførte desuden, at Nemligs log kun dækkede de seneste 7 dage, og derfor ikke kunne afkræfte uautoriseret adgang i den periode, hvor oplysningerne havde været tilgængelige (fra 2016 til januar 2019).

Datatilsynet bemærkede også, at Nemlig ikke kunne forvente, at en registreret, der oplevede misbrug af en hemmelig adresse, nødvendigvis ville kunne knytte dette til Nemligs behandling af adressen, da adressen kunne være registreret hos flere virksomheder og myndigheder. Endelig anførte Datatilsynet, at de foranstaltninger, Nemlig havde truffet, kun virkede fremadrettet og ikke ændrede på den risiko, bruddet allerede havde udgjort.

Datatilsynets afgørelse

Datatilsynet meddelte Nemlig.com A/S et påbud om at underrette de registrerede, som kunne have en hemmelig eller udeladt adresse. Påbuddet er givet i medfør af Databeskyttelsesforordningen artikel 58, stk. 2, litra e.

• Underretningen skal opfylde kravene i Databeskyttelsesforordningen artikel 34 og beskrive karakteren af bruddet på persondatasikkerheden i et klart sprog. Den skal mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i Databeskyttelsesforordningen artikel 33, stk. 3, litra b, c og d.
• Hvis registrerede med hemmelig/udeladt adresse ikke kan identificeres, skal samtlige berørte registrerede (ca. 250.000) underrettes.