http://www.snakeoil.dk/kommentarer/20021028-1
==================
Snakeoil.dk har den 28/10 2002 modtaget følgende email:
From: "Nils Rasmussen" <nr@datatilsynet.dk>
Date: Mon, 28 Oct 2002 12:32:29 +0100
Subject: Svar: Anmeldelse af Valus Datatilsynets j.nr.: 2002-711-0030
[-- Attachment #1 --]
[-- Type: text/plain, Encoding: 8bit, Size: 7.8K --]
Til Alex Holst,
Datatilsynet har på baggrund af din henvendelse om valus.dk besluttet
at undersøge sagen nærmere. Tilsynet har derfor i brev af 23. oktober
2002 anmodet Den Norske Bank, som er ansvarlig for valus.dk, om en
redegørelse.
Kopi af Datatilsynets brev vedlægges til orientering
Med venlig hilsen
Nils Rasmussen
Datatilsynet
Borgergade 28, 5.
Postboks 9044
1300 København K
Tlf.: 33 19 32 00
Dir.: 33 19 32 34
Fax: 33 19 32 18
Hjemmeside:
www.datatilsynet.dk
Officiel e-post: dt@datatilsynet.dk
[-- Attachment #2: Word for Windows version 6.0 --]
[-- Type: application/msword, Encoding: base64, Size: 364K --]
[-- application/msword is unsupported (use 'v' to view this part) --]
Det vedhæftede Word dokument blev kørt gennem antiword med følgende
resultat.
Valus.dk, CVR-nr.: 19-13-63-02
Den Norske Bank. Filial af Den Norske Bank SA. Norge
Højbro Plads 21, 1.
1200 København K
U D K A S T
|23. oktober |Uvedkommendes adgang til data i valus.dk
|
|2002 |
|
| |
|
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-post dt@datatilsynet.dk
www.datatilsynet.dk
J.nr. 2002-711-0030
Sagsbehandler
Nils Rasmussen
Direkte 3319 3234
Datatilsynet er på baggrund af en henvendelse den 16. oktober 2002 fra
Alex
Holst <holsta@mongers.org> blevet opmærksom på en mulig sikkerhedsbrist
hos
valus.dk.
Det fremgår af nævnte henvendelse, som vedlægges i kopi, at det, da
valus.dk åbnede den 23. maj 2002, for uvedkommende var muligt at få
valus.dk's databasesystem til at gå ned, og at det ville have været
muligt
for uvedkommende med tilstrækkeligt kendskab til det benyttede
databaseprodukt at tilgå og modificere vilkårlige dele af valus.dk's
database.
Det fremgår af § 41 stk. 3 i persondataloven[1], at den dataansvarlige
skal
træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger
mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes
eller
forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven. Tilsvarende gælder for
databehandlere.
Af persondatalovens § 42 fremgår det, at når en dataansvarlig overlader
en
behandling af oplysninger til en databehandler, skal den dataansvarlige
sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte
tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at
dette
sker.
Datatilsynet opfatter Den Norske Bank som dataansvarlig for valus.dk.
Datatilsynet har på baggrund af henvendelsen fra Alex Holst besluttet at
undersøge, om persondataloven har været overtrådt. Tilsynet skal derfor
anmode Den Norske Bank om at oplyse følgende:
1) om det for uvedkommende har været muligt at tilgå eller modificere
oplysninger i valus.dk om personer samt hvilke personoplysninger,
uvedkommende i givet fald har kunnet få adgang til, og hvor mange
registrerede personer det kan dreje sig om.
2) om årsagen til hændelsen kan tilskrives fejl ved et produkt,
mangelfuld
vedligeholdelse af et produkt eller en konfiguration,
fejlkonfiguration
eller andet.
3) om interne regler har været overtrådt - og i givet fald hvilke.
4) hvilke tekniske og organisatoriske tiltag banken har gjort for at
minimere risikoen for en gentagelse af hændelsen - f.eks. i form af
ændringer i adgangskontrolsystemer og teknisk sikkerhedsløsning eller
revision eller indskærpelse af interne regler.
Datatilsynet skal anmode et svar senest tre uger fra dags dato.
Det skal for god ordens skyld oplyses, at Forbrugerstyrelsen har anmodet
om
at blive orienteret om udfaldet af denne sag, og at Datatilsynet
eventuelt
efterfølgende vil omtale sagen på sin hjemmeside.
Med venlig hilsen
Nils Rasmussen
Bilag: Kopi af henvendelse fra Alex Holst.
-----------------------
[1] Lov nr. 429 om behandling af persondata af 31. maj 2000 som ændret
ved
lov nr. 280 af 25. april 2001
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org