Det har været alt for let for uvedkommende at få adgang til personoplysninger på årskortholdere i Zoologisk Have i København.
Sådan lyder det fra Datatilsynet, der udtaler alvorlig kritik af Zoo på baggrund af et anmeldt brud på persondatasikkerheden.
Ifølge GDPR-myndigheden har det tekniske setup af loginsiden for årskortholdere gjort det for nemt for fremmede personer at få adgang til personoplysninger på andre.
»Afgørelsen er truffet, fordi Datatilsynet fandt, at det ikke var tale om passende sikkerhed, da det havde været alt for nemt at opnå uautoriseret adgang til årskortholderes personoplysninger. Login for årskortholdere var en kombination af to numeriske værdier uden begrænsning i antallet af loginforsøg,« skriver Datatilsynet i sin afgørelse.
Version2 kunne tidligere i år fortælle om en softwareingeniør, der havde påvist, hvor nemt det var at få adgang til årskortholderes persondata såsom navne, adresser, mails, telefonnumre samt muligheden for at ændre i abonnementet.
Hullet kommunikation
Udover selve sikkerhedsbruddet får Zoo også kritik for den måde, som haven har kommunikeret på om sagen. Det gælder både overfor Datatilsynet og overfor de berørte kunder.
Denne del af kritikken skyldes, at Zoo ikke lavede en retvisende beskrivelse til Datatilsynet om, hvad sikkerhedsbruddet handlede om.
Det samme gælder for den information, som Zoo sendte til de berørte kunder om sikkerhedsbruddet og de foranstaltninger, som Zoo havde truffet for at håndtere bruddet.