Datatilsynet har sendt Trumf et varsel om overtredelsesgebyr på fem millioner kroner. Bakgrunnen er at Trumf-medlemmer har kunnet registrere andres kontonummer på medlemsprofilen og dermed skaffe seg tilgang til andres handlehistorikk.
- Datatilsynet ba Trumf lukke dette sikkerhetshullet allerede i 2016, men det ble ikke gjennomført, sier juridisk seniorrådgiver Ida Småge Breidablikk.
Årsaken til at Trumf-medlemmer har kunnet få tilgang til andres handlehistorikk, er at Trumf ikke har implementert en løsning for å verifisere at Trumf-medlemmet som registrerer bankkontoen også er innehaver av kontoen. Ved å registrere bankkonto får en tilgang til hva en har handlet, når en har handlet og hvor en har handlet.
Datatilsynet førte tilsyn med Trumf, eid av Norgesgruppen, i 2016.
- Vi tydeliggjorde da hvor sentralt det var å sikre verifikasjon av kontoinnehaver, slik at ingen Trumf-medlemmer kunne registrere andre personers bankkonto og på denne måten få tilgang til personopplysninger om dem. Trumf gav uttrykk for at en slik verifikasjon snarlig ville bli implementert. Datatilsynet avsluttet derfor saken. Datatilsynet fikk i 2020 informasjon om at en slik verifikasjonsløsning likevel ikke hadde blitt innført, forteller Småge Breidablikk.
Datatilsynet skriver i varselet at tilfeller der personer, bevisst eller ubevisst, har utnyttet den aktuelle sårbarheten ved å registrere andre personers bankkonto på eget medlemskap, utgjør et brudd på personopplysningssikkerheten. Dette er som utgangspunktet meldepliktig til Datatilsynet. Slike hendelser skal for øvrig også dokumenteres internt i virksomheten.
Datatilsynet har i varselet redegjort for hvorfor vi mener Trumf ikke har oppfylt disse forpliktelsene. Datatilsynet redegjør også for hvorfor vi mener at Trumf burde lukket denne sårbarheten.
- I varselet framgår det at vi mener Trumf ikke har sørget for tilstrekkelig sikkerhet for behandlingen av personopplysninger i lojalitetsprogrammet. Datatilsynet varsler derfor et overtredelsesgebyr mot Trumf på fem millioner kroner, sier Ida Småge Breidablikk.
Det understrekes at dette kun er et varsel om vedtak, og at det ikke vil bli tatt endelig stilling til saken før etter Trumf har fått inngitt sine merknader til dette varselet.
Trumf har nå sikret at kontonummer verifiseres før man får tilgang til handlehistorikken og ved nye registreringer av kontonummer
Trumf har fått frist til å gi sine merknader innen 14. januar 2022.
Norgesgruppen har i en pressemelding gitt uttrykk for at overtredelsesgebyret vil godtas.