Circle K tar grep etter personverntabbe: 495 kunders e-postadresser på avveie
Nesten 500 Circle K-kunder fikk e-postadressene sine delt med hverandre da selskapet skulle sende ut en betalingspåminnelse. Da en kunde stilte spørsmål fikk han beskjed om at e-postadressene var «utdaterte», men det var de ikke.
Tirsdag morgen dumpet en ordinær betalingspåminnelse ned i e-postkassen til 495 av Circle Ks ladekunder.
Det var bare et problem. Alle mottagerne fikk samtidig tilgang til e-postadressene til de alle som mottok den samme e-posten.
Circle K innrømmer overfor E24 at de har gjort en feil, og at e-postadressene skulle vært skjult i blindkopi-feltet. Ingen annen detaljinformasjon utover e-postadressene ble delt med mottagerne.
Da en av kundene svarte alle mottagerne for å informere om hendelsen, fikk han en beklagelse fra Circle Ks kundeservice som også skrev:
«Ved et uhell har en rekke utdaterte epostadresser havnet på kopi sammen med eposten til deg.»
Formuleringen «utdaterte e-postadresser» var derimot ikke riktig. Det bekrefter kommunikasjonssjef Knut Hilmar Hansen i Circle K, som sier at «utdaterte» aldri skulle vært med.
– Ordet «utdaterte» ble brukt etter at min kollega hadde fått e-poster om «kan ikke leveres» i retur. Jeg kan ikke annet enn å beklage overfor kunden som fikk dette. Riktig formulering er at en rekke e-postadresser havnet på kopi sammen med e-posten kunden fikk, skriver Hansen til E24.
Bysykkel-plattform i motvind: Nedbemanning, lederskifter og nå har storinvestor solgt seg ut
– Oppdaget feilen etter å ha trykket «send»
E-posten kunden og de 494 andre fikk, gikk ut på at selskapet ikke hadde klart å belaste kundenes betalingskort. Med bakgrunn i dette varslet selskapet at manglende betaling av ubetalte fakturaer ville føre til at kundens brukerkonto hos selskapet ville bli midlertidig stengt på et senere tidspunkt.
– E-postene ble sendt ut manuelt. Vi oppdaget feilen straks etter å ha trykket «send», vi forsøkte å tilbakekalle e-posten og sendte like etterpå en beklagelse med oppfordring om å slette tidligere mottatte e-post, skriver Hansen.
I den påfølgende e-posten beklaget Circle K på det sterkeste, og understreket at det var «tatt tak i intern» for å sikre at dette ikke skal skje igjen.
Selskapet arbeider nå med implementeringen av en ny elektronisk betalingsløsning.
– Feilsendingen i dag var den siste manuelle prosessen i den gamle løsningen vår, sier Hansen.
Han understreker at selskapet tar GDPR (EUs personvernforordning) på alvor, og beklager hendelsen på det sterkeste.
Intersport-hackere på liste over de «farligste personene på nettet»
Varsler Datatilsynet
I henhold til gjeldende regelverk vil Circle K nå melde saken videre til Datatilsynet.
Datatilsynet ønsker ikke å kommentere denne konkrete saken, men sier på generelt grunnlag at en virksomhet må gjøre det de kan for å lukke avviket når personopplysninger er på avveie.
– Det skal også meldes til oss så fort som mulig, og senest innen 72 timer. Dersom avviket kan ha en risiko for dem som er berørt, skal de også varsles så fort som mulig, sier senior kommunikasjonsrådgiver Guro Skåltveit i Datatilsynet til E24.
Hun forklarer at en bedrift må finne ut av hvordan dette kunne skje, og eventuelt gjøre tiltak og endre rutiner. Datatilsynet vil så vurdere alvorlighetsgraden og videre tiltak fra sin side etter at avviksmeldingen har kommet inn.
– En virksomhet kan for eksempel ha sendt ut brev feil, noe som ikke nødvendigvis trenger å være veldig alvorlig for de berørte. Men så kan jo disse brevene inneholde svært sensitiv informasjon eller de har gjort samme feil flere ganger, noe som gjør at saken likevel blir alvorlig, forklarer Skåltveit.
