Ved å registrere kontonummer i Trumf får en tilgang til hva en har handlet, når en har handlet og hvor en har handlet.
- Trumf hadde ikke sørget for tilstrekkelig sikkerhet for behandlingen av handlehistorikken til medlemmene, og de måtte derfor lukke dette sikkerhetshullet, sier juridisk seniorrådgiver Ida Småge Breidablikk.
Datatilsynet står dermed fast ved sitt tidligere varsel om et gebyr på fem millioner kroner mot Trumf sendt i desember 2021, og vi har opprettholdt våre tidligere vurderinger i dette vedtaket.
Manglet løsning for verifisering
Årsaken til at Trumf-medlemmer kunne få tilgang til andres handlehistorikk, er at Trumf ikke hadde implementert en løsning for å verifisere at Trumf-medlemmet som registrerer bankkontoen også var innehaver av kontoen.
I vedtaket skriver Datatilsynet at tilfeller der personer, bevisst eller ubevisst, har registrert andre personers kontonummer på eget medlemskap, utgjør et brudd på personopplysningssikkerheten. Dette er som utgangspunkt meldepliktig til Datatilsynet. Slike hendelser skal for øvrig også dokumenteres internt i virksomheten.
Datatilsynet har i vedtaket redegjort for hvorfor vi mener Trumf ikke har oppfylt disse forpliktelsene.
Trumf har nå sikret at kontonummer verifiseres før man får tilgang til handlehistorikken og ved nye registreringer av kontonummer.
Trumf kan klage på vedtaket innen tre uker.
Last ned
Vedtak om overtredelsesgebyr til Trumf (pdf).