Hoppa till innehåll

Anmärkning om bristande skyddsåtgärder för ett företag som blivit föremål för dataintrång och förordnande om att lagringstiden av uppgifter ska förkortas

Utgivningsdatum 16.3.2023 9.18 | Publicerad på svenska 22.3.2023 kl. 18.09
Pressmeddelande

Angriparen hade fått tillgång till den självserviceportal som är avsedd för Forenoms kunder samt till det verksamhetsstyrningssystem som hänför sig till den via en sårbarhet i gränssnittet. Dataintrånget gällde tiotusentals personuppgifter. Enligt utredningen vid dataombudsmannens byrå hade det inom inkvarteringsbranschen verksamma företagets skyddsåtgärder varit bristande. Företaget hade dessutom lagrat kundernas personuppgifter för länge.

​​​​​Dataombudsmannens byrå mottog många klagomål om dataintrånget, där de registrerade berättade att de varit Forenoms kunder sedan tio år tillbaka.

Dataombudsmannen gav Forenom en anmärkning om bristerna i skyddandet av personuppgifter. Dataombudsmannen anser att företaget hade kunnat utföra en mer regelbunden testning för att upptäcka och reparera sårbarheter.

Dataintrånget fullbordades med hjälp av SQL-injektion. Angriparen hade med hjälp av automation utfört ett flertal olika slags kommandon, varav åtminstone en hade dragit nytta av sårbarheten i databasens gränssnitt. SQL-injektionerna utgör en av de mest kritiska dataskyddsriskerna när det gäller nättjänster.

Dataombudsmannen påminner att de som upprätthåller nättjänster och databasservrar ska se till att förebygga SQL-injektioner bland annat genom att testa systemen tillräckligt. Injektioner kan förebyggas även med omfattande brandväggsfunktioner. 

Vid behandling av personuppgifter ska iakttas principen om uppgiftsminimering

Forenom berättade att det lagrar alla kunduppgifter som gäller ett inkvarterings- och hyresförhållande i tio år bland annat för eventuella framtida skadeståndstalan. Dataombudsmannen ansåg det dock vara uppenbart att tvistsituationer oftast utreds strax efter att hyresförhållandet upphört. Då kan uppgifter vid behov lagras längre. 

Dataombudsmannen anser att företaget inte har iakttagit principen om uppgifts- och lagringsminimering. Enligt den allmänna dataskyddsförordningen får personuppgifter inte insamlas eller behandlas i vidare utsträckning än vad som är nödvändigt med tanke på behandlingens syfte. Lagringstiden för personuppgifter ska vara så kort som möjligt.

Efter dataintrånget hade Forenom förkortat lagringstiden för personuppgifter, men fastställt lagringstiden enligt lagringsskyldigheterna i bokföringslagen. Dataombudsmannen påminner att bokföringslagen inte kan användas som grund för att lagra sådana personuppgifter, vars lagring inte förutsätts i bokföringslagen. Dataombudsmannen beordrade företaget att förkorta lagringstiden till den del som uppgifter inte på grund av bokföring behöver lagras för iakttagande av andra rättsliga förpliktelser.

Beslutet har inte vunnit laga kraft.

Dataombudsmannens beslut i Finlex (på finska): Personuppgiftsincident och uppgiftsminimering

Mer information:

dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029566 6766

Personuppgiftsincidenten drabbade människor i ett flertal länder inom Europeiska ekonomiska samarbetsområdet. Ärendet behandlades därför i dataskyddsmyndigheternas gränsöverskridande samarbetsförande. Dataombudsmannens byrå fungerade som ledande tillsynsmyndighet, och i behandlingen av fallet deltog 17 dataskyddsmyndigheter från olika EES-länder.

Tillbaka till toppen