NemID-login gav adgang til fremmedes forsikringsdata: »Et klart brud på GDPR«
Da Version2 for nylig forsøgte at logge ind hos forsikringsselskabet Tryg for at ændre en police, fik vi os noget af en overraskelse.
På skærmen stod nemlig et ”Godaften” og så navnet på en for redaktionen ukendt person. Dette på trods af, at vi havde logget ind med både eget CPR-nummer og NemID.
Pludselig havde vi adgang til bl.a. personens fulde navn, telefonnummer, adresse og forsikringsoplysninger. Vi tog hurtigt kontakt til personen, som rigtigt nok kunne bekræfte, at han var kunde hos Tryg, og at han ikke kunne logge på sin profil.
Peter Glüsing, Head of Media Relations hos Nets Group, som driver NemID, forklarer, at fejlen ikke teknisk har noget med NemID at gøre.
»Den her fejl, hvor man får adgang til en anden kundes data, det er vist sket inde i Trygs del af det her flow. Det kan vi se, efter at have undersøgt tingene i vores system,« fortæller Peter Glüsing.
Alvorlig sag
Hos Tryg bekræfter man i en skriftlig kommentar, at fejlen ligger her. Forsikringsselskabet vil dog ikke oplyse, hvad den præcis består i.

Måske man skulle kigge nærmere på processerne for code-development, altså har der været et egentligt code-review? Er featuren understøttet af tests? Har der været fornuftigt QA på opgaven? Har der været tilstrækkeligt testdata til at foretage en egentlig test? Selve code-deployment bør ikke kunne forårsage sådanne typer fejl.
Ikke en fejl i NemID, men en fejl i forsikringsselskabet Trygs systemer.
Sådan lyder det igen og igen, når skaden er sket. Var der ikke nogle flere virksomheder, der kunne kaste flere ressourcer ind i at forebygge frem for efterfølgende at undersøge, hvorfor det går galt?
Har jo ikke noget med NemId at gøre? Som jeg læser det er det i Trygs system fejlen var.
Og så lige ventet et par dage - til de 72 timers frist var grundigt overskrevet.. så ville det have været interessant at se om Tryg så havde fået rapportet denne sag til datatilsynet :)
Når man siger man er journalist - så har det, det med at få lidt mere opmærksomhed, desværre - end når almindelige private støder på problemet..