Dansk netshop gemmer billeder af kundernes pas

En af Danmarks største netbutikker, Proshop, tager billeder af folks kørekort eller pas, når kunderne henter varer. Praksissen har intet lovligt formål, mener eksperter.

En af Danmarks største online-butikker, Proshop, affotograferer og lagrer kunders ID-billede – pas eller kørekort - når kunden afhenter sine varer. Det fremgår af virksomheden egen hjemmeside, hvor der også står, at de beholder billedet fra enten et pas eller kørekort i op til fem år på sin interne server. Det skriver business.dk.

Det er et problem, mener seniorjurist hos Forbrugerrådet Tænk Anette Høyrup.

»Jeg synes, det lyder meget vidtgående, og jeg ville selv være bekymret som forbruger, hvis jeg skulle have mit pas liggende hos en tilfældig netbutik. Det er meget følsomme oplysninger, de indsamler,« siger hun til business.dk

Ayo Næsborg-Andersen, der er ekspert i persondataret hos Syddansk Universitet, mener, at den praksis er ulovlig:

»At opbevare billedet og tage en kopi af det – det er der, min kæde hopper af. Jeg kan ikke se, de har et lovligt formål med det,« siger hun til business.dk

Formanden for bestyrelsen i virksomheden er serieiværksætteren Poul Thyregod.

Han fortæller, at billedet skal bruges til at undgå identitetstyveri og svindel. De ansatte, der står for at udlevere varerne, skærmer for de sidste fire numre i personnummeret, når de tager billedet.

Poul Thyregod fortæller, at Proshop bliver svindlet for omtrent 1,6 millioner kroner om året, men kan ikke oplyse hvor mange af de penge der bliver svindlet ved afhentning af varer. Han mener, at Proshop holder sig inden for lovens rammer, og firmaet har ikke i sinde at ændre praksissen. Svindleriet giver dem en saglig begrundelse, mener han.

Også Metro Service og DSB har fået kritik af flere jurister for at bryde persondataloven, når de udsteder kontrolafgifter. Også her bliver der taget billeder af ID, som bliver lagret i op til fem år.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
Gert G. Larsen

Det er self. farligt ift. persondata, og hvad hvis serveren bliver hacket eller stjålet osv...
MEN omvendt er det altså også et vildt udbredt trick, at bruge en andens kreditkort via forudbestilling på nettet, og så hente varen, enten selv, eller via et mulddyr.
Og politiet gør først noget, når den samme person har bedraget for tilstrækkeligt stort beløb eller tilstrækkeligt mange gange.

SÅ hvad gør man som forretningsdrivende??

Ikke helt relateret case, men så alligevel;
Mit Mastercard blev kopieret via noget POS-malware i usa for nogle år siden.
Det blev videresolgt til en dansker i Odense, som forsøger at bestille varer for godt 20.000 kr på det. Jeg opdagede reservationen på kortet, og kontaktede sælgeren af varerne.
Han var mega glad for jeg ringede, så han kunne annullere ordren. For ellers stod han med tabet.
Som tak, gav han lige informationerne på ham fyren i Odense der skulle have varerne leveret.
Efter lidt søgninger lod det til, at køber havde brugt sit rigtige navn og adresse og kontaktinformationer i ordren.
Jeg ringede til køber, og ville spørge om han ikke ville nøjes med at bruge sine egne penge fremover. Men han var tilsyneladende ikke så interesseret i at snakke.
Jeg anmeldte naturligvis det hele til politiet, inkl. købers navn og adresse.
Politiet oplyste, at når nu jeg selv havde stoppet skaden, og reelt ikke havde mistet penge, gad de ikke gøre mere. Jeg spurgte om analogien var tilsvarende ved afværgede mordforsøg og lignende, men det ville de ikke drøfte nærmere.

SÅ IGEN, HVAD GØR MAN?? Som privatperson, som forretningsdrivende?

Martin Sørensen

SÅ IGEN, HVAD GØR MAN?? Som privatperson, som forretningsdrivende?


Personligt mener jeg at vejen frem er skrue gevaldigt ned for alle de ressourcer vi bruger på terrorbekæmpelse, udvide politistyrken og i stedet give vores dem mulighed for at efterforske disse lidt mere jordnære sager.
Jeg kan godt se hvorfor de ikke gider at gøre noget i denne sag. De kan simpelthen ikke.

Jonas Andersen

Godt indlæg i debatten.

Og som der er nævnt i artiklen så er det altså ikke småpenge der bliver svindlet for.
Proshop er jo nødt til at servere svindlere på et sølvfad for at politiet kan/vil gøre noget. Overvågning vha. kameraer er der nok af. Men hvis du har et kørekort/pas, så er det meget nemt for politiet at kunne slå op hvem der har hentet varer.

En ting som version2's artikel ikke nævner er at Proshop dækker over de sidste 4 cifre i personnumre.

Martin Sørensen

En ting som version2's artikel ikke nævner er at Proshop dækker over de sidste 4 cifre i personnumre.


Det skriver de da?
Jeg kan godt se hvorfor de gerne vil gemme et scan af købers ID, men de bør ikke gemme det længere end allerhøjest nødvendigt. Hvis jeg skulle sælge et køretøj så ville jeg også gerne holde fast i en potentiel købers kørekort under køreturen (mod at love at betale bøden hvis de bliver stoppet uden deres kort på sig). Det er lidt det samme, men jeg ville så returnere kortet straks de er tilbage.

Gert G. Larsen

Martin: Hvis politiet først vil køre en sag, efter der er svindlet for xx tusinder kroner af samme person, eller samme person har svindlet xx antal gange, så er det nødvendigt at nogen holder track på dette. Og politiet gør ikke.
Men butikken kunne måske gøre det mere elegant.

Knud Larsen

Problemet er som påpeget, at politi og foged gør ikke noget ved svindlere.
Når svindleren ikke har penge, får de lov at gå af fogeden.
Politiet vil ikke gribe ind, selv om der er tab ved svindel og tyveri!
Så det er en speget affære.
Kunne lovgiverne ikke tage sig sammen og skrive love, der ikke konflikter og tager hensyn til den faktiske retshåndhævelse?

Jesper Frimann

@Knud Larsen

Enig. Og det er jo grotæsk så at høre Trine Bramsen stå og snakke om MicroManagement IT-krimininalitets pakke, hvor essensen er højere straffe.

So what ? Når/Hvis politiet ikke har ressourcer og/eller kompetence til at efterforske sager, hvor man får tingene serveret på et sølvfad, kan det jo være total lige meget.

// Jesper

Jan Juul Mortensen

Som privat person, venter man på den 25. maj 2018, og benytter som den afsluttende handling ved afhentningen sig af retten til, at blive glemt.

Virksomheder kontrollere om betalingen ikke er annulleret fra kortudsteder/pengeinstitut ved afhentningen, er dette ikke tilfældet må det være kortudsteder/pengeinstitut der stå inde for sikkerheden ved deres betalingsmiddel.

Kortudsteder/pengeinstitut sørger for mere sikre betalingsmåder, eventuelt ved, at benytte en form for 2 faktor godkendelse.

Povl H. Pedersen

Ifølge GDPR så står de med et problem. For data skal slettes når de ikke er relevante. Og min erfaring med politisager og IP adresser har hidtil været at 12 måneder er tilstrækkeligt. 5 år er for meget da forældelsesfristen er 3 år. Ved ikke hvor lang tid Nets kan komme og gøre modkrav ?

Og kunden skal informeres om formålet, og vel hvor lang tid de opbevarer data.

Hvis man betaler i butik, og ikke på nettet, så slipper man for ID kravet, og sparer gebyret.

Sune Marcher

En ting som version2's artikel ikke nævner er at Proshop dækker over de sidste 4 cifre i personnumre.


Siden hvornår?

Jeg stoppede med at forudbetale mine bestillinger, netop fordi de begyndte at tage billeder. Og der blev altså ikke dækket over noget som helst.

Derudover havde de i årevis password gemt reversibelt i databasen ("glemt password" funktionaliteten sendte password i email, i stedet for at have reset link). Det kunne de ikke sådan rigtigt se noget problem i, da jeg gjorde dem opmærksom på det. Det er fixet nu, men det tog dem over et år, og det er ikke godt at vide om de er skiftet til hashing eller der stadig anvendes reversibel kryptering.

Gert Madsen

Så vi skal bare give op på e-handel?


Nej, men det kunne være fornuftigt at få lidt proportioner på.
1,6 mio. ud af hvor meget ?
Hvor meget svind har Elgiganten ?
Jeg er sikker på at de også kunne mindske det med aftaler med den lokale rockergruppe. Men det er heller ikke lovligt.
Der er risiko med handel. Det gælder også e-handel. Man kommer langt med at kræve FOREVISNING af legitimation. At gemme billede af det, handler nok mest om dovenskab.
Jeg fraråde nogen at løbe risikoen for at skulle bruge uger på at rede sig ud af identitetstyveri, som følge af dårlig sikkerhed eller brådne kar i medarbejderstaben hos ProShop.

Henning Wangerin

Så hvad gør man som forretningsdrivende??

Tja en måde at løse det på er da jeg bestilte stumper hos THansen på et udenlandsk visa-kort.

De annullerede transaktionen, og krævede at jeg betalte igen da jeg hentede varerne.

Problemet i mit tilfælde var bare at der på kortet kun var penge til det pågældende køb, og de var endnu ikke frigivet da jeg hentede varerne, så jeg var nød til at betale selv, og få selv sørge for at få pengene refunderet hos indehaveren af kortet.

Det var lidt træls, men ideen kan jeg godt lide.

Hvorfor jeg så med djævlens vold og mange SKULLE betale i webshoppen når varen skulle afhentes er så en ting jeg ikke forstår. Men det er nok bare mig ;-)

/Henning

Kristian Wiborg

SÅ IGEN, HVAD GØR MAN?? Som privatperson, som forretningsdrivende?

Det første Proshop kunne gøre er at tilbyde deres kunder en sikker betalingsform såsom Bitcoin. Bitcoin vil også kunne anvendes til at bekræfte identiteten på kunder, som man tidligere har handlet med.

Jesper Pedersen

Det første Proshop kunne gøre er at tilbyde deres kunder en sikker betalingsform såsom Bitcoin. Bitcoin vil også kunne anvendes til at bekræfte identiteten på kunder, som man tidligere har handlet med.


Men det kan man jo også med Dankort jo. Problemet er bare, at det ikke er slået til hos alle, fordi det irriterer folk når man skal have en kode sendt med SMS, og indtaste kodeord ved alt det der VISA checkout security, og de mener, at de derfor mister kunder på det ift. de butikker som IKKE bruger det.
Så hvis det blev noget alle netbutikker skulle gøre, så tror jeg det ville gøre en del.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017