Er indkøbsordning lemfældig omgang med datasikkerheden?
Michael Jacobsen mener, at en opfordring til, at hans 84-årige mor opgiver væsentlige kortoplysninger til indkøbsfirmet Intervare er uansvarligt. Kommunen mener dog at fremgangsmåden opfylder gældende lovgivning
Michael Jacobsens mor er 84 år og alvorligt hjerneskadet. Derfor har hun brug for hjælp til mange ting, heriblandt indkøb. På den baggrund er hun af Lyngby-Taarbæk Kommune blevet tilbudt at tilmelde sig en indkøbsordning i det digitale supermarked, der hedder Intervare. En af de måder hun kan betale på er ved at udfylde en seddel med kortnummer, udløbsdato og kontrolcifre.
En fremgangsmåde som Michael Jacobsen i den grad mener er en lemfældig omgang med IT-sikkerheden. Derfor kontaktede han i april/maj måned sidste år Lyngby-Taarbæk Kommune for at gøre opmærksom på problemet. Han fik dengang at vide, at det ville indgå i det næste udbud af indkøbsordninger.
Men muligheden foreligger stadig. Det kunne Michael Jacobsen se i det materiale hans mor fornyeligt modtog. Han frygter, at de meget følsomme oplysninger falder i de forkerte hænder.
”Min mor er 84 år og alvorligt hjerneskadet. Hun kan slet ikke forstå det her. Hun ville være et helt klar offer. Og hvad med de mennesker, der er endnu dårligere stillet, som ikke har pårørende til at hjælpe sig,” spørger Michael Jacobsen.
Lovgivningen er overholdt
I Lyngby-Taarbæk Kommune er man bekendt med Michael Jacobsens henvendelse. Og problemstillingen blev inddraget i genudbuddet, hvor også andre løsningsmodeller er blevet overvejet.
Der er dog ikke foretaget nogle ændringer, da der ikke ses at være en bedre løsning, og fordi løsningen ikke ses at være problematisk i forhold til persondatalovgivningen, markedsføringslovgivningen mv. Det skriver Lyngby-Taarbæk Kommune i et svar på Det Grønne Områdes henvendelse. Her skriver de også:
”Direktøren for firmaet Intervare Stefan Plenge tilkendegav, at de vægter sikkerhed og tryghed meget højt. Kunderne skal kun registrere deres følsomme betalingsoplysninger én gang, når kunden tilmeldes indkøbsordningen.
Som det fremgår på både formularen og i det vedhæftede brev til denne formular opbevares betalingsoplysningerne ikke af Intervare, idet formularen sikkerhedsmakuleres straks efter at oplysningerne er tastet hos firmaet DIBS, som er certificeret af PBS til at opbevare Dankortoplysningerne. Såfremt en borger føler sig utryg ved at afgive oplysningerne skriftlig, kan oplysningerne afgives over telefonen til en kundeservicemedarbejder hos Intervare, som taster dem direkte i DIBS' system. Er borgeren heller ikke er tryg ved denne løsning, kan borgeren oprettes som PBS betaler via denne blanket. Her afgives ikke kortoplysninger. Valgmuligheden mellem dankort og PBS betaling fremgår af det velkomstbrev, som borgeren modtager.”
Endvidere står der:
”Med Dankort betaler borgeren for sine varer den dag de leveres, hvormed borgeren altid kan kontrollere bankkontoens bevægelser efterfølgende. Med PBS betaler borgeren kun én gang om måneden og skal derfor gå og huske på hvor mange penge der er handlet for igennem måneden og så fratrække dette beløb fra det som står på kontoen, før borgeren med sikkerhed ved hvad der kan bruges på andre formål. Nogle borgere foretrækker Dankort og andre PBS og det er helt op til den enkelte borger at vælge hvilken betalingsform der passer bedst.”
På den baggrund har Lyngby-Taarbæk Kommunes Juridisk Kontor vurderet at firmaet Intervares håndtering overholder både persondatalov og markedslov.
Grund til at være skeptisk
Jan Kaastrup er partner I CSIS Security Group A/S, der blandt andet efterforsker brud på IT- sikkerhed og misbrug af personfølsomme oplysninger for bankerne.
I udgangspunktet mener han, at det er helt vanvittigt at bede folk om at opgive kortnummer og kontrolcifre.
”Jeg oplevet ofte at avissælgere, står og noterer kreditkortoplysninger ned i hånden på gaden. Og det er en lemfældig omgang med den type data. I udlandet sker det også at hoteller eller biludlejningsfirmaer tager kopier af begge sider af dit kort, og det er stærkt problematisk,” siger Jan Kaastrup.
I forhold til indkøbsordningen i Lyngby-Taarbæk Kommune mener han dog, der er en række formildende forhold.
”I det her tilfælde kræver det selvfølgelig, at man har tillid til sin hjemmehjælper, hvis vedkommende skal hjælpe med at udfylde skemaet. Lidt på samme måde, som hvis man giver dem sit kort og beder dem gå ned at handle ind for sig.
Men Jan Kaastrup synes, at det er formildende, at der i pakken med velkomstbrev og tilmeldingsblanket også medfølger en kuvert, så man kan forsegle sine oplysninger. På den måde kan modtageren se om forseglingen er blevet brudt. Og skulle der ske misbrug af kortet, så er det relativt let at undersøge, hvor i kæden lækagen er sket.
Når det så er sagt, så synes han, at der er god grund til at passe på sine personlige data.
Lige nu efterforsker han flere sager, hvor folks personnumre bliver brugt til at optage kviklån eller købe varer på kredit.