Datatilsynet

Straffes: Nå må kundene ta grep

Medlemmer har kunnet registrere andres kontonummer på medlemsprofilen sin og dermed skaffet seg tilgang til andres handlehistorikk. Trumf godtar boten.

IKKE TATT GREP PÅ FEM ÅR: Datatilsynet ba Trumf lukke dette sikkerhetshullet allerede i 2016, men det ble ikke gjennomført. Foto: NTB
IKKE TATT GREP PÅ FEM ÅR: Datatilsynet ba Trumf lukke dette sikkerhetshullet allerede i 2016, men det ble ikke gjennomført. Foto: NTB Vis mer
Publisert
Sist oppdatert

Nå har altså Datatilsynet sendt Trumf varsel om overtredelsesgebyr på fem millioner kroner etter at Trumf-medlemmer har kunnet registrere andres kontonummer på medlemsprofilen og dermed skaffe seg tilgang til andres handlehistorikk.

Trumf har nemlig ikke implementert en løsning for å verifisere at det enkelte medlemmet med registrerer bankkonto også er innehaver av kontoen, står det i en pressemelding.

Ved å registrere bankkonto, får du tilgang til hva, når og hvor du har handlet.

- I varselet framgår det at vi mener Trumf ikke har sørget for tilstrekkelig sikkerhet for behandlingen av personopplysninger i lojalitetsprogrammet. Datatilsynet varsler derfor et overtredelsesgebyr mot Trumf på fem millioner kroner, sier juridisk seniorrådgiver Ida Småge Breidablikk i Datatilsynet.

Trumf godtar gebyret

Selv om det nå er snakk om et varsel om vedtak, og at det ikke vil bli tatt endelig stilling til saken før Trumf har fått inngitt sine merknader til dette varselet innen 14. januar 2022, godtar Trumf bota:

Datatilsynet har varslet oss om overtredelsesgebyret for brudd på personvernforordningen, og vi vedtar gebyret og understreker at saken nå er løst, skriver Trumf på nettsida si.

Alle Trumf-medlemmer må i dag bekrefte kontonummeret sitt for å få innsyn i sine handledata. Dersom du ennå ikke har bekreftet dine kontonummer, anbefaler Trumf at du gjør dette nå.

SYNLIG ELLER SKJULT? Slik ser du hva andre kan lese om deg på Facebook, og endrer personverninnstillingene, så du skjuler ting på tidslinja. Video: DinSide Vis mer

Ble bedt om å ordne opp i 2016

Trumf bekrefter samtidig bakgrunnen for bota, som er at de har brukt for lang tid på å få på plass en løsning for å bekrefte kontonummer opp mot identitet. En slik løsning er nå på plass, men det har altså tidligere vært mulig å registrere andres kontonummer mot sitt Trumf-medlemskap, skriver Trumf.

- Datatilsynet ba Trumf lukke dette sikkerhetshullet allerede i 2016, men det ble ikke gjennomført, sier Småge Breidablikk.

- Vi tydeliggjorde under tilsynet den gang hvor sentralt det var å sikre verifikasjon av kontoinnehaver, slik at ingen medlemmer kunne registrere andre personers bankkonto og på denne måten få tilgang til personopplysninger om dem. Trumf gav uttrykk for at en slik verifikasjon snarlig ville bli implementert. Datatilsynet avsluttet derfor saken, men fikk i 2020 informasjon om at en slik verifikasjonsløsning likevel ikke hadde blitt innført, forteller Småge Breidablikk videre.

Utnyttet ubevisst og bevisst

Datatilsynet skriver i varselet at tilfeller der personer, bevisst eller ubevisst, har utnyttet den aktuelle sårbarheten ved å registrere andre personers bankkonto på eget medlemskap, utgjør et brudd på personopplysningssikkerheten.

Dette er som utgangspunktet meldepliktig til Datatilsynet, og slike hendelser skal også dokumenteres internt i virksomheten.

Problemstillingen som Datatilsynet reagerer på, er løst i tråd med hva vi har kommunisert til tilsynet tidligere. Alle kunder kan dessuten være trygge på at hvis kontoen deres har vært registrert på dem, så kan ingen andre ha registrert det kontonummeret på seg og sett deres kjøp, skriver Trumf.

Vi bryr oss om ditt personvern

dinside er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer