Sambla Group påförs en påföljdsavgift för försummelse av informationssäkerheten – företaget ska informera sina kunder om det inträffade

Sambla Group påförs en påföljdsavgift för försummelse av informationssäkerheten - företaget ska informera sina kunder om det inträffade

Påföljdskollegiet vid dataombudsmannens byrå har påfört Sambla Group, som erbjuder jämförelsetjänster för lån, en påföljdsavgift på 950 000 euro. Uppgifterna i kundernas låneansökningar på grund av svag informationssäkerhet hade varit tillgängliga för utomstående via personliga länkar avsedda för kunderna. Enligt företaget är länkarna inte längre i bruk. Företaget ålades att informera sina kunder om det inträffade.

I den tekniska utredning som gjordes av dataombudsmannens byrå upptäckte man att det förekom allvarliga informationssäkerhetsbrister i Sambla Groups lånejämförelsetjänster lainaparkki.fi och rahoitu.fi. Företaget ålades att avsluta behandlingen av lånesökandenas personuppgifter i sina e-tjänster genast när de allvarliga bristerna i informationssäkerheten framkom i mars 2024. Utredningen av ärendet började ursprungligen utifrån en anmälan till dataombudsmannen.

Av utredningen framgick att tjänsterna inte hade tillräckliga begränsningar som skulle förhindra utomstående från att få tillgång till uppgifterna i låneansökningarna. Vem som helst som kände till en webbadress avsedd för en kund och som hade tekniska kunskaper för att utnyttja informationssäkerhetsbrister hade direkt tillgång till uppgifterna. Sambla Group har meddelat att de har tagit de webbadresser som hade informationssäkerhetsbrister ur bruk och utvecklat informationssäkerheten i sina tjänster.

"Nivån på webbadressernas informationssäkerhet i tjänsterna har varit mycket svag. Inom nätbrottsligheten söker och utnyttjar man ständigt sådana sårbarheter. Därför är det viktigt att regelbundet bedöma om e-tjänsternas informationssäkerhet är tillräcklig", konstaterar biträdande dataombudsman Heljä-Tuulia Pihamaa.

Den tekniska utredningen visade att webbadresserna hade utsatts för nätfiske och att personuppgifter också hade hamnat hos utomstående. Via länkarna hade man haft tillgång till lånesökandens kontaktuppgifter samt bland annat uppgifter om inkomster, boendeutgifter, civilstånd och eventuella barn. Den biträdande dataombudsmannen ålade Sambla Group att informera om det inträffade till de kunder vars uppgifter kan ha varit tillgängliga för utomstående.

"Det handlar om uppgifter som beskriver en människas ekonomiska ställning. I sådana situationer lönar det sig att vara uppmärksam på ovanliga kontakter. Man bör inte svara på konstiga samtal och meddelanden och ska inte lämna ut sina uppgifter vid tvivelaktiga förfrågningar. Om en person faller offer för bedrägeri, utpressning eller identitetsstöld ska han eller hon göra en brottsanmälan till polisen", säger Pihamaa.

Beslutet har ännu inte vunnit laga kraft och kan överklagas hos förvaltningsdomstolen.

Biträdande dataombudsmannens och påföljdskollegiets beslut i Finlex på finska

Biträdande dataombudsmannens beslut om personuppgiftsincidenten i Finlex på finska

Råd till offer för personuppgiftsincidenter

• Anvisningar på dataombudsmannens byrås webbplats: Om du drabbas av en personuppgiftsincident
• Guide på webbplatsen Suomi.fi: Mina personuppgifter har stulits eller läckt ut

Mer information:

Biträdande dataombudsman Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029 566 6787

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.

Public link

Please use the above public link if you want to share this noodl on another website.