Trumf har mottatt et varsel om et gebyr på 5 millioner kroner fra Datatilsynet.
Om vedtaket gjennomføres, vil det være blant de høyeste i 2021.
– Dette er en sak vi mener er alvorlig. Derfor har vi varslet et gebyr på 5 millioner kroner, sier Ida Småge Breidablikk, juridisk seniorrådgiver i Datatilsynet.
Bakgrunnen er at Trumf-medlemmer har kunnet registrere andres kontonummer på egen medlemsprofil, og dermed skaffet seg tilgang til andres handlehistorikk.
Trumf, som er eid av Norgesgruppen, har tidligere ikke hatt en løsning for å verifisere at personen som registrerer kontoen, også eier den.
Ved å registrere bankkonto får man tilgang til hva, når og hvor man har handlet.
Godtar gebyret
Datatilsynet førte tilsyn med Trumf i 2016 i forbindelse med et varsel de fikk fra en privatperson. De ba da Trumf lukke sikkerhetshullet.
– Trumf gav da uttrykk for at en slik verifikasjon ville iverksettes snarlig, sier Ida Småge Breidablikk.
Datatilsynet avsluttet dermed saken.
– Men verifikasjonen ble ikke implementert, sier Breidablikk.
Datatilsynet skriver i varselet at tilfeller der personer, bevisst eller ubevisst, har utnyttet sårbarheten utgjør et brudd på personopplysningssikkerheten.
Truls Fjeldstad, daglig leder i Trumf, sier selskapet godtar gebyret fra Datatilsynet.
Foto: PrivatDaglig leder i Trumf, Truls Fjeldstad, forteller til NRK at feilen ble rettet opp i sommer.
Han innrømmer samtidig at implementeringen av tiltaket, som tettet sikkerhetshullet, tok for lang tid.
– Vi erkjenner at dette tok for lang tid, og godtar gebyret. Vi legger oss flate, sier Fjeldstad.
Han legger samtidig til at Trumf innførte en rekke andre tiltak etter 2016.
– Kundene måtte bekrefte egen info hver tredje måned, vi slettet 100.000 medlemmer vi var usikre på, samtidig som vi slettet titusenvis av bankkontoer vi var usikre på, sier Fjeldstad.
Han legger til at Trumf var avhengig av juridisk godkjente avtaler med bankene for å få tettet sikkerhetshullet, og at disse avtalene lot vente på seg.
I et presseskriv skriver Trumf de mener at rett til innsyn og kontroll er sentralt i godt personvern.
– Vi har veid innsynsretten opp mot risikoen etter å ha gjennomført en rekke tiltak. Nå har Datatilsynet kommet med en tydelig avklaring. At avklaringen kommer i form av et varsel om overtredelsesgebyr er beklagelig, men det må vi bare akseptere. Avklaringen er uansett verdifull for oss, sier Fjeldstad i skrivet.
Samme feil i Remas Æ-app
NRK har tidligere skrevet om Trumf og Remas Æ-app, som begge har hatt lignende hull i sine sikkerhetssystemer.
Datatilsynet opplyser til NRK at de har avsluttet saken mot Rema, som selv sendte Datatilsynet melding om sikkerhetsfeilen.
– Datatilsynet har valgt å avslutte saken ovenfor Rema uten sanksjoner, avslutter Ida Småge Breidablikk.
Øistein Burøy Olsen, leder for Digitale Kundeopplevelser i REMA 1000, sier til NRK at de er fornøyde med Datatilsynets vurderinger.
– Vi er fornøyde med at Datatilsynet har valgt å avslutte sine undersøkelser og med dette anerkjenner at vi har håndtert saken på en ansvarlig måte. Vi har jobbet systematisk med tiltak for å sikre at våre kunders persondata er forsvarlig håndtert.
Begge selskapene har nå sikret at kontonummer verifiseres før man får tilgang til handlehistorikken.
