BEC får alvorlig kritik af Datatilsynet: Afslørede beskyttede adresser i pengeoverførsler

4. marts 2020 kl. 14:013
BEC får alvorlig kritik af Datatilsynet: Afslørede beskyttede adresser i pengeoverførsler
Illustration: Datatilsynet.
Sidste år kunne Version2 fortælle, at en fejl hos BEC har blotlagt bankkunders beskyttede adresser. Nu udtaler Datatilsynet alvorlig kritik.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den danske virksomhed BEC, der leverer software til banker og finansvirksomheder, får nu alvorlig kritik af Datatilsynet.

Version2 kunne i august sidste år afsløre, at en fejl hos BEC har betydet, at et ukendt antal danske bankkunder har fået deres beskyttede adresser eksponeret i forbindelse med pengeoverførsler - og det er på baggrund af den sag, at tilsynet nu er ude med riven.

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at BEC’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra f, og databeskyttelsesforordningens artikel 32 stk. 1,« skriver Datatilsynet i en ny afgørelse.

Tusindvis af berørte

Fejlen ligger i, at personer med adressebeskyttelse i cpr-registeret ikke har fået deres beskyttelse med over i BECs system.

Artiklen fortsætter efter annoncen

Dermed er de ellers beskyttede adresser blevet synlige for modtagere af pengeoverførsler, og i afgørelsen fremføres fire årsager til fejlen.

1) Der har været tale om en ældre løsning, hvor der ikke er implementeret adressebeskyttelse.

2) I forbindelse med konvertering af oplysninger fra et ældre system til et nyt system er der sket en ukorrekt konvertering af en markering, der styrer adressebeskyttelsen

3) Markeringen af adressebeskyttelse – i forbindelse med kunders ajourføring af betalinger i netbanken – er ved en fejl er blevet nulstillet.

Artiklen fortsætter efter annoncen

4) Kunders valg om at tilknytte en såkaldt 'særlig adresse' til sin konto, som ikke kontrolleres for adressebeskyttelse i systemet, er ved en fejl er blevet videregivet ved overførslen.

I Datatilsynets afgørelse kan man læse, at mere end 20 banker og virksomheder har anmeldt BEC til Datatilsynet, der også fremhæver det store antal berørte kunder som en skærpende omstændighed.

»Det skønnes, at mere end 20.000 kunder har været berørt af fejlen.«

BEC erkender fejl

I en pressemeddelelse påpeger BEC, at sektoraftaler om pengeoverførsler i Danmark dikterer, at betalingsafsenderens adresse skal ved overførsler. Men selvom hverken sektoraftalerne eller cpr-loven adresserer beskyttede adresser ved pengeoverførsler, lægger BEC sig fladt ned og erkender fejlen.

Artiklen fortsætter efter annoncen

»Vi har fuld forståelse for Datatilsynets afgørelse. BEC og de involverede pengeinstitutter beklager endnu en gang dybt over for de kunder, som utilsigtet har fået videregivet deres beskyttede adresser,« udtaler Kurt Nørrisgaard, administrerende direktør i BEC.

»De fleste overfører ikke penge til nogen, som ikke må kende deres adresser – det er nok også derfor, fejlen ikke blev opdaget før. Men i visse situationer kan det være vigtigt for afsenderen at holde sin adresse hemmelig. Så snart vi opdagede problemet, satte BEC og pengeinstitutterne derfor omfattende kræfter ind på hurtigt at rette fejlen, orientere alle de berørte kunder, orientere Datatilsynet og fjerne de videregivne adresser i beløbsmodtagernes netbanker med videre.«

Der er ikke indstillet nogen bøde i sagen.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
5. marts 2020 kl. 15:47

Og hvilken hjemmel har banken egentlig til at dele min adresse med andre banker?

Jeg svarer lige mig selv.

Hjemlen til at videregive betalers adresse til modtagers bank er tilsyneladende artikel 4 i denne forordning:https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32015R0847&from=DA#d1e796-1-1

Jeg kan dog ikke lure, hvilken hjemmel modtagers bank har til at videregive disse oplysninger til modtageren selv. Adressen er ikke blandt de oplysninger, der er nævnt i artikel 39 i dette direktiv:https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32007L0064&from=DA#d1e2636-1-1

2
5. marts 2020 kl. 15:32

I en pressemeddelelse påpeger BEC, at sektoraftaler om pengeoverførsler i Danmark dikterer, at betalingsafsenderens adresse skal ved overførsler.

Hvad er baggrunden for dette?

Og hvilken hjemmel har banken egentlig til at dele min adresse med andre banker?

1
5. marts 2020 kl. 09:27

Der er aldrig indstillet til bøder. Det eneste problematiske for virksomheder ved den nye lov er presse helvedet. Der er aldrig nogen bøder og aldrig nogen reelle konsekvenser som tilfredsstiller ofrets behov for retfærdighed.