I syv år kunne alle og enhver se detaljerede oplysninger fra hundredetusinder af fakturaer, som betalingstjenesten DIBS havde liggende online.
Efter Version2's afsløring af sikkerhedsbristen, har DIBS lukket løsningen, så oplysningerne ikke længere er tilgængeliged.
I Forbrugerrådet er man glad for, at oplysningerne ikke længere er tilgængelige. Men overrasket over, at tjenesten har kunnet kør i syv år med den fejl.
»Det er godt nok længe. Det er ret vildt, hvis der er nogen, der har fornøjet sig med at følge med i fakturaerne i syv år. Jeg håber, det er noget, Datatilsynet på en eller anden måde påtaler. For sagen har også en principiel karakter, da sådan noget ikke må ske og slet ikke så længe,« siger Anette Høyrup, jurist i Forbrugerrådet til Version2, og tilføjer:
»Denne her type af sager er selvforstærkende. Jo flere af de her sager, desto større risiko er der for, at folk begynder at sidde at skifte numrene ud. Det er ikke første gang, vi hører, at det bare er nogle små tal, der skal ændres på.«
De yderste konsekvenser for forbrugerne kan være slemme, vurderer Anette Høyrup.
»Sådan nogle oplysninger er ret personlige - uanset, om det er personoplysninger eller ej, er der både kontakt- og forbrugsoplysninger. Det kan være privatlivskrænkende, at folk kan se, hvor man rejser hen, hvor man har fået massage og hvad man køber af varer. Det er krænkende på et psykologisk plan,« siger Anette Høyrup og fortsætter:
»Skrækscenariet er også, at folk kan se, at der er købt for 60.000 kr. møbler på en bestemt adresse eller at man er bortrejst på ferie, og at der derefter bliver begået indbrud.«
Det er grundlæggende problematisk at sådan nogle sager sker, lyder det fra Forbrugerrådet.
»Det er alvorligt på det samfundsmæssige plan, fordi det ikke ligefrem fremmer det digitale marked. Tilliden til, at der er styr på sikkerheden er afgørende for, at vi kan innovere og digitalisere. Det underbygger ikke ligefrem de ambitioner, Danmark har på det digitale felt. Og det vidner også om det behov, der er for, at vi får revideret vores persondatalov, som er en støvet sag fra 1995,« siger Anette Høyrup og uddyber:
»EU-kommissionen så gerne, at medlemslandene gemte oplysninger på en anden måde og at man pseudonymiserer oplysninger. Det vil betyde, at der i tilfælde som dette, hvor der er et hul, ikke sker det store, da der ikke er navn på fakturaen. Vi er i Danmark tilbøjelige til at putte navne, adresser og nogle gange personnumre ind i databaserne. Det skal elimineres fuldstændigt ved at pseudonimisere, for så vil sådanne læk ikke have den store betydning.«
Datatilsynet: Ikke godt
I Datatilsynet vil man ikke forholde sig til den konkrete sag, uden at have set al dokumentationen, men på baggrund af oplysningerne om de flere hundrede tusinde fakturaer med personoplysninger, lyder det ikke ligefrem positivt fra tilsynet.
»Det lyder ikke godt, nu vil vi følge med og se, om det er noget, vi skal gå ind i.,« siger Lena Andersen, kontorchef i Datatilsynet, til Version2 og fortsætter:
»Vi vil følge dækningen på Version2 og tage stilling til, om det er noget, vi går ind i.«
Datatilsynet vil ikke kommentere yderligere på den konkrete sag uden at have set flere oplysninger. Heri indgår blandt andet betragtninger om hvor alvorlige oplysningerne er, og hvor stort omfanget er. Men grundlæggende er det afgørende for tilsynet, at loven bliver overholdt.
»Det er oplysninger, der er beskyttet af persondataloven, også når der ikke er personnumre og meget følsomme oplysninger, så er det et krav, at man som virksomhed beskytter oplysninger, man har om kunderne.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
