Gebyr til BRAbank ASA
Datatilsynet har gitt BRAbank et overtredelsesgebyr på 400 000 kroner for brudd på personvernforordningen. Saken gjelder manglende risikovurdering og testing i forbindelse med lansering av en kundeportal for banktjenester.
Datatilsynet har gitt BRAbank et overtredelsesgebyr på 400 000 kroner for brudd på personvernforordningen. Saken gjelder manglende risikovurdering og testing i forbindelse med lansering av en kundeportal for banktjenester.
BRAbank ASA, tidligere Easybank ASA, har akseptert varselet vårt om overtredelsesgebyr i sin helhet, og Datatilsynet gir derfor overtredelsesgebyr i tråd med varselet.
Saken startet med en melding om brudd på personopplysningssikkerheten 6. september 2019 fra daværende Easybank ASA. Ifølge meldingen kunne noen kunder se andre kunders låneforhold da banken lanserte «Min Side» for et mindre utvalg kunder. «Min Side» er en løsning hvor kundene får oversikt over låneengasjementet sitt.
Dersom kunden fulgte en lenke for å verifisere kontaktopplysninger, kunne de få opp kontaktopplysningene til andre kunder. Disse opplysningene ville ikke nødvendigvis være knyttet til lånet de hadde fått innsyn i. Noen få kunder fikk også innsyn i en annen kundes adresseinformasjon, og noen fikk opp feil låneinformasjon. Hendelsen oppsto i en periode der «Min Side» var rullet ut for et utvalg på 500 av bankens kunder.
Kundene som potensielt har blitt berørt av hendelsen er varslet av BRAbank.
Etter å ha gjort nærmere undersøkelser i saken har Datatilsynet konkludert med at banken ikke oppfylte personvernforordningens krav til risikovurdering og egnede tekniske tiltak (testing) i forbindelse med lansering av kundeportalen. Tilsynets vurdering er at bruddet på personopplysningssikkerheten kunne vært forebygget dersom banken hadde gjennomført risikovurdering og testing slik loven krever.
Personvernforordningen krever at den behandlingsansvarlige gjennomfører risikovurderinger og iverksetter egnede tekniske tiltak slik som testing i lys av risikoen tjenesten deres innebærer for de registrerte.
I saken har vi lagt skjerpende vekt på at banken behandler kundenes finansielle opplysninger, og at dette er opplysninger som enkeltpersoner opplever som veldig private. Dette gjelder særlig når det er snakk om opplysninger om forbrukslån og refinansiering. Opplysningenes private karakter påvirker hvilke tekniske og organisatoriske tiltak den behandlingsansvarlige må iverksette for å ivareta personopplysningssikkerheten.
I motsetning til for eksempel inntekter, er ikke finansielle opplysninger offentlig tilgjengelig informasjon. Datatilsynets personvernundersøkelser har også vist at opplysninger om privatøkonomi oppleves som særlig beskyttelsesverdig. Hele 89 prosent mente dette ifølge Datatilsynets personvernundersøkelse for 2019/2020.
BRAbank ASA har tre ukers klagefrist fra selskapet mottar vedtaket vårt.