Den danske virksomhed BEC, der leverer software til banker og finansvirksomheder, får nu alvorlig kritik af Datatilsynet.
Version2 kunne i august sidste år afsløre, at en fejl hos BEC har betydet, at et ukendt antal danske bankkunder har fået deres beskyttede adresser eksponeret i forbindelse med pengeoverførsler - og det er på baggrund af den sag, at tilsynet nu er ude med riven.
»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at BEC’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra f, og databeskyttelsesforordningens artikel 32 stk. 1,« skriver Datatilsynet i en ny afgørelse.
Tusindvis af berørte
Fejlen ligger i, at personer med adressebeskyttelse i cpr-registeret ikke har fået deres beskyttelse med over i BECs system.
Dermed er de ellers beskyttede adresser blevet synlige for modtagere af pengeoverførsler, og i afgørelsen fremføres fire årsager til fejlen.
1) Der har været tale om en ældre løsning, hvor der ikke er implementeret adressebeskyttelse.
2) I forbindelse med konvertering af oplysninger fra et ældre system til et nyt system er der sket en ukorrekt konvertering af en markering, der styrer adressebeskyttelsen
3) Markeringen af adressebeskyttelse – i forbindelse med kunders ajourføring af betalinger i netbanken – er ved en fejl er blevet nulstillet.
4) Kunders valg om at tilknytte en såkaldt 'særlig adresse' til sin konto, som ikke kontrolleres for adressebeskyttelse i systemet, er ved en fejl er blevet videregivet ved overførslen.
I Datatilsynets afgørelse kan man læse, at mere end 20 banker og virksomheder har anmeldt BEC til Datatilsynet, der også fremhæver det store antal berørte kunder som en skærpende omstændighed.
»Det skønnes, at mere end 20.000 kunder har været berørt af fejlen.«
BEC erkender fejl
I en pressemeddelelse påpeger BEC, at sektoraftaler om pengeoverførsler i Danmark dikterer, at betalingsafsenderens adresse skal ved overførsler. Men selvom hverken sektoraftalerne eller cpr-loven adresserer beskyttede adresser ved pengeoverførsler, lægger BEC sig fladt ned og erkender fejlen.
»Vi har fuld forståelse for Datatilsynets afgørelse. BEC og de involverede pengeinstitutter beklager endnu en gang dybt over for de kunder, som utilsigtet har fået videregivet deres beskyttede adresser,« udtaler Kurt Nørrisgaard, administrerende direktør i BEC.
»De fleste overfører ikke penge til nogen, som ikke må kende deres adresser – det er nok også derfor, fejlen ikke blev opdaget før. Men i visse situationer kan det være vigtigt for afsenderen at holde sin adresse hemmelig. Så snart vi opdagede problemet, satte BEC og pengeinstitutterne derfor omfattende kræfter ind på hurtigt at rette fejlen, orientere alle de berørte kunder, orientere Datatilsynet og fjerne de videregivne adresser i beløbsmodtagernes netbanker med videre.«
Der er ikke indstillet nogen bøde i sagen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
