Pålegg til PostNord
Datatilsynet pålegger PostNord å forbedre sikkerheten i tjenesten «mypostnord».
På bakgrunn av to meldinger om brudd på personopplysningssikkerheten fra PostNord og tips fra publikum, har Datatilsynet gjort nærmere undersøkelser rundt sikkerheten i tjenesten «mypostnord». Dette er en tjeneste laget for privatkunder som bruker selskapets såkalte spedisjonstjenester. Formålet med tjenesten er å gi kunden en oversikt over sendinger på vei til eller fra dem.
Telefonnummer alene er ikke god nok sikkerhet
Frem til nå har PostNord brukt telefonnummer som eneste autentisering for brukere når de åpner tjenesten. Konsekvensen av dette er at personer som får nytt telefonnummer gjennom direktesalg eller tildeling fra teleoperatørene, får tilgang til mypostnord-profilen til den tidligere eieren av telefonnummeret. Dette innebærer blant annet tilgang til navn, adresse, og i noen tilfeller informasjon om pakker på vei.
– Opplysninger hos spedisjons- og posttjenester er private, og uvedkommende skal ikke ha tilgang til dem, sier juridisk seniorrådgiver Ole Martin Moe.
PostNord har som spedisjonsselskap taushetsplikt etter postloven, og har plikt til å sikre konfidensialitet i tjenesten etter personvernforordningen.
– Selskapet har tatt funnene våre på alvor i merknadene til varselet, og har informert oss om at de vil iverksette tiltak for å forhindre at nye eiere av telefonnumre får tilgang til tidligere eiers opplysninger hos PostNord, fortsetter Moe.
Pålegg om å iverksette tiltak
Datatilsynet varslet i august 2022 at PostNord måtte forbedre sikkerheten i tjenesten for å forhindre at uvedkommende fikk tilgang til disse opplysningene. PostNord var enige i varselet, og vi fatter derfor vedtak i tråd med varselet.
Pålegget innebærer at PostNord må iverksette tiltak for å sikre at ikke uvedkommende får tilgang til personopplysninger i tjenesten.
Selskapet har tre ukers klagefrist på vedtaket. Deretter har selskapet fire uker på å iverksette tiltak og dokumentere dem overfor Datatilsynet.