Det fejlramte mikrobetalingssystem Valus bliver nu en sag for de danske myndigheder.
Både Forbrugerombudsmanden og Datatilsynet forlanger en redegørelse for, hvad der gik galt i dagene efter Valus-systemets åbning - og ikke mindst, hvad der er gjort for at undgå gentagelser.
Computerworld Onlines læsere fik hurtigt efter Valus' introduktion i maj øje på en række sikkerhedsfejl, der blandt andet gav adgang til at se Valus-brugernes betalingstransaktioner.
Netop i disse dage går fem mennesker rundt og gruer for, hvordan de vil blive straffet for at have lagt Valus-systemet ned ved blot at indtaste en særlig internetadresse i deres browser. Alle fem er sigtet af politiet, der har efterforsket sagen siden maj.
Datatilsynet interesserer sig for, om persondataloven er overtrådt, altså om følsomme oplysninger om Valus-brugerne har været frit tilgængelige på nettet, mens Forbrugerombudsmanden bekymrer sig om loven om visse betalingsmidler, der blandt andet forpligter Valus til at sikre brugerne imod misbrug af deres konti.
Skytset rettes mod Den Norske Bank, der ejer Valus-systemet, og her skal ledelsen redegøre for, hvilke oplysninger uvedkommende har haft adgang til.
Computerworld Online har begæret aktindsigt i Datatilsynet og Forbrugerombudsmandens henvendelser til Valus. Brevene kan læses på de følgende sider.
Svarfristen hos Datatilsynet er tre uger, mens Forbrugerombudsmanden forlanger svar inden 14 dage.
Det har ikke været muligt at indhente en kommentar fra Den Norske Bank, der har ladet sit delvist ejede datterselskab, Netaxept, stå for udviklingen af Valus.
Se Datatilsynets brev til Den Norske Bank på næste side.
Computerworld Online har fået aktindsigt i Datatilsynets henvendelse til Den Norske Bank, der betragtes som "dataansvarlig" for det danske mikrobetalingssystem, Valus.dk.
Her er brevet, som Datatilsynet sendte i sidste uge på baggrund af en henvendelse fra en forbruger (som her kaldes NN):
Valus.dk, CVR-nr.: 19-13-63-02 Den Norske Bank. Filial af Den Norske Bank SA. Norge Højbro Plads 21, 1. 1200 København K 23. oktober 2002 Datatilsynet er på baggrund af en henvendelse den 16. oktober 2002 fra NN blevet opmærksom på en mulig sikkerhedsbrist hos valus.dk. Det fremgår af nævnte henvendelse, som vedlægges i kopi, at det, da valus.dk åbnede den 23. maj 2002, for uvedkommende var muligt at få valus.dk?s databasesystem til at gå ned, og at det ville have været muligt for uvedkommende med tilstrækkeligt kendskab til det benyttede databaseprodukt at tilgå og modificere vilkårlige dele af valus.dk?s database. Det fremgår af § 41 stk. 3 i persondataloven , at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Af persondatalovens § 42 fremgår det, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Datatilsynet opfatter Den Norske Bank som dataansvarlig for valus.dk. Datatilsynet har på baggrund af henvendelsen fra NN besluttet at undersøge, om persondataloven har været overtrådt. Tilsynet skal derfor anmode Den Norske Bank om at oplyse følgende: 1) om det for uvedkommende har været muligt at tilgå eller modificere oplysninger i valus.dk om personer samt hvilke personoplysninger, uvedkommende i givet fald har kunnet få adgang til, og hvor mange registrerede personer det kan dreje sig om. 2) om årsagen til hændelsen kan tilskrives fejl ved et produkt, mangelfuld vedligeholdelse af et produkt eller en konfiguration, fejlkonfiguration eller andet. 3) om interne regler har været overtrådt - og i givet fald hvilke. 4) hvilke tekniske og organisatoriske tiltag banken har gjort for at minimere risikoen for en gentagelse af hændelsen - f.eks. i form af ændringer i adgangskontrolsystemer og teknisk sikkerhedsløsning eller revision eller indskærpelse af interne regler. Datatilsynet skal anmode et svar senest tre uger fra dags dato. Det skal for god ordens skyld oplyses, at Forbrugerstyrelsen har anmodet om at blive orienteret om udfaldet af denne sag, og at Datatilsynet eventuelt efterfølgende vil omtale sagen på sin hjemmeside. Med venlig hilsen Nils Rasmussen |
Se Forbrugerombudsmandens brev på næste side.
Forbrugerombudsmanden har af egen drift taget sagen op og - som det fremgår af brevet nedenfor - forlangt en redegørelse af Den Norske Bank.
Den Norske Bank A/S Højbro Plads 21, 1. 1200 København K 21. oktober 2002 Forbrugerombudsmandens opmærksomhed er blevet henledt på, at nogle personer i maj måned d.å. fik adgang til oplysninger om transaktioner og personoplysninger i microbetalingssystemet Valus. Forholdet har ligeledes været omtalt i Computerworld. Udskrift vedlægges til orientering. I henhold til § 4 i lov om visse betalingsmidler har udstederen af et betalingssystem ansvaret for at systemet indrettes og virker, så det sikrer brugerne mod misbrug og som sikrer brugerne fortrolighed omkring deres anvendelse af betalingsmidlet. Vi skal på denne baggrund bede selskabet redegøre for hvilke kundedata der var tilgængelige i systemet, i hvilket omfang disse personer fik adgang til brugeroplysninger samt hvilke foranstaltninger selskabet efterfølgende har truffet for at forebygge at lignende sker i fremtiden. Vi skal anmode om selskabets redegørelse inden 14 dage fra dato. Vi er bekendt med at Datatilsynet behandler sagen efter persondataloven, hvorfor vi har sendt en kopi af dette brev til Datatilsynet. Med venlig hilsen Linda Pedersen |