Merkur andelskasse

Dansk bank lækker kundernes CPR-numre

Merkur Andelskasse har lækket sine kunders CPR-numre.

På det nyeste eksemplar af bankens kundemagasin, Pengevirke, har hver enkel kunde fået påtrykt vedkommendes individuelle CPR-nummer på bagsiden af magasinet sammen med adressen, erfarer Newz.

Merkur beklager fejlen, men mener dog ikke, at brugernes data er blevet misbrugt, da CPR-numrene kun er blevet påtrykt netop den enkelte kundes magasin.

Morten Plesner, redaktør på Pengevirke, siger, at der er tale om en menneskelig fejl, som er årsag til lækagen.

Derfor opgraderer Pengevirke nu kontrol-proceduren, så fejlen ikke gentager sig i fremtiden:

”Vi har tilføjet et ekstra kontrollag, inden magasinet sendes videre til distributøren, og CPR-numre vil desuden slet ikke figurere på de lister, som sendes videre i systemet,” udtaler Morten Plesner til Newz.

Merkur skriver til sine kunder, at de vil underrette Datatilsynet om sagen.

Det nye CPR-læk kommer i kølvandet på en lignende sag ved Københavns Universitet, hvor ansatte ved en fejl fik adgang til 13.600 personers CPR-numre.

Ved udgangen af 2016 havde Merkur Andelskasse 28.000 kunder.





Gå til bund
Gravatar

#1 Ebbe 14. jun. 2018 10:15

Ups, og skal vi så ikke se frem ad. igen igen igen.
Gravatar

#2 thimon 14. jun. 2018 11:33

Vil GDPR så være gældende her, dvs. vil der komme kæmpebøder på flere mange kroner?
Gravatar

#3 Chucara 14. jun. 2018 14:01

Endnu en grund til at en glorificeret primærnøgle ikke bør kunne bruges som identifikation.
Newz.dk: Hvor alle er eksperter indenfor alt.
Gravatar

#4 arne_v 14. jun. 2018 14:20

#2

Og hvorfor skulle der falde bøde i forhold til GDPR?

Der er et veldefineret krav om at informere om problemet inden 72 timer. Det lyder som om de informerer hurtigt.

Der er et meget vagt krav om at der skal være passende sikkerhedsforanstaltninger. Jeg tror at det vil blive svært at argumentere for at en menneskelig udvælgelse af data er et upassende lavt sikkerhedsniveau.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#5 thimon 15. jun. 2018 13:36

#4

Men hvornår bliver bøder så givet ifm. GDPR?

Er det kun, når virksomheden ikke formår at rapportere et brud indenfor 72 timer, og kan man som forbruger kræve erstatning eller lign. fra banken, hvis en personlige oplysninger er lækket. Det kan jo have store konsekvenser, at ens personlige oplysninger lækket.
Gravatar

#6 arne_v 17. jun. 2018 01:25

#5

Bøder gives hvis man ovetræder GDPR.

Der er masser af måder at overtræde GDPR på:
* manglende grundlag for indsamling af data (gyldige grundlag inkluderer lovbestemt, kontrakter , eksplicit tilsagn etc.)
* manglende adgang for brugere til at se deres data
* manglende sletning af data efter bruger ønske (forudsat ingen lovbestemt eller kontrakt grund til at data skal gemmes)
* manglende information om data læk indenfor 72 timer

[lidt løst opsummeret]

I teorien kan der ogs[ gives bøde for manglende datasikkerhed.

Men lad mig lige komme med et par citater fra GDPR:


Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.



In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.



Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities.



processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).



1.Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
(a) the pseudonymisation and encryption of personal data;


Nøgleordet er helt klart "appropriate".

Og mens det er ret nemt at bevise at information af bruger skete mere end 72 timer efter et data læk, så er det meget vanskeligere at bevise at sikkerhedsniveauet ikke var "appropriate".
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login