Datatilsynet varsler gebyr til Trumf på fem millioner kroner

Trumf sier de vil vedta gebyret.

Foto: Jon Olav Nesvold / NTB
Publisert:

Bakgrunnen er at Trumf-medlemmer har kunnet registrere andres kontonummer på medlemsprofilen og dermed skaffe seg tilgang til andres handlehistorikk.

I pressemeldingen skriver Datatilsynet at ved å registrere en bankkonto får man tilgang til hva en har handlet, hvor og når handelen er gjennomført. Årsaken til at de har kunnet få tilgang er at Trumf ikke har lagt inn en løsning for å bekrefte at medlemmet også eier kontoen.

Trumf har nå sikret at kontonummer verifiseres før man får tilgang til handlehistorikken og ved nye registreringer av kontonummer.

Det er imidlertid kun et varsel om vedtak, og det vil ikke bli tatt endelig stilling før etter at Trumf har sendt sine merknader til Datatilsynet.

I en egen melding skriver Trumf at de vil vedta gebyret fra datatilsynet.

Mener de selv har brukt for lang tid

Bakgrunnen for Datatilsynets vedtak er at Trumf har brukt for lang tid på å få på plass gode nok løsninger for å verifisere kontonummer opp mot ID. En slik løsning er nå på plass, men det har altså tidligere vært mulig å registrere andres kontonumre mot sitt Trumf-medlemskap.

Truls Fjeldstad, daglig leder i Trumf, sier til E24 at deres syn på gebyret er todelt. Den ene siden er at de erkjenner at det har tatt tid å få på plass løsningen.

– Det andre er at dette er leit, så jeg er litt lei meg på vegne av de som har jobbet i mange år med å skape de beste personvernløsningene for Trumf, sier Fjeldstad.

Han forklarer at de har gjort løpende oppdateringer siden 2016, inntil den endelige løsningen var på plass i sommer.

– Saken er løst, så vi legger den bak oss, slår han fast.
De vil likevel gå i dialog med tilsynet om personvern fremover.

Fjeldstad mener at det innsynet som Datatilsynet påpeker er viktig for kundene.

– Retten til innsyn er noe av det viktigste i det europeiske lovverket, mener han, og peker på retten til å vite hva selskaper vet om deg, muligheten til å få slettet opplysninger og muligheten til å trekke tilbake samtykker.

– Det er det dilemmaet vi har vurdert hele veien. Å skru av innsynet ville vært et alvorlig brudd, mener han.

Førte tilsyn i 2016

– Vi førte tilsyn og ba Trumf lukke dette sikkerhetshullet allerede i 2016, men det ble ikke gjennomført. Vi var tydeliggjorde på hvor sentralt det var å sikre verifikasjon av kontoinnehaver, slik at ingen Trumf-medlemmer kunne registrere andre personers bankkonto og få tilgang til personopplysninger om dem, sier juridisk seniorrådgiver Ida Småge Breidablikk i Datatilsynet.

I varselet skriver Datatilsynet at i tilfeller der personer bevisst eller ubevisst har utnyttet aktuell sårbarhet ved å registrere andres bankkonto på eget medlemskap utgjør et brudd på personopplysningssikkerheten.

Dette er som utgangspunktet meldepliktig til Datatilsynet. Slike hendelser skal for øvrig også dokumenteres internt i virksomheten.

- I varselet framgår det at vi mener Trumf ikke har sørget for tilstrekkelig sikkerhet for behandlingen av personopplysninger i lojalitetsprogrammet. Datatilsynet varsler derfor et overtredelsesgebyr mot Trumf på fem millioner kroner, sier Breidablikk.

Publisert:
 

Flere artikler

  1. Datatilsynet gir sjekkeapp 65 mill. i overtredelsesgebyr

  2. Datatilsynet vil nekte SSB innsamling av matkvitteringer

  3. Betalt innhold

    Ansatt hos leverandør snoket i bankdata – 35 banker rammet

  5. Boten til hans forlag har økt med 50 millioner kroner fra varsel til vedtak.

  6. Finanstilsynet: Seks investorer straffes etter Flyr-emisjon