Datatilsynet har kritiseret en databehandler bag en ejendomsmæglerplatform for utilstrækkelig beskyttelse af personoplysninger. Brugere med legitim adgang kunne ved at inspicere XML og visningslagets kildekode via browserens DevTools se navne på potentielle købere, tilbudte priser og dokumenter som udkast til købsaftaler, herunder enkelte cpr-numre. Myndigheden understreger, at adgang via DevTools er almindelig og ikke udgør en sikkerhedsforanstaltning.
Datatilsynet fastslår, at personoplysninger ikke må forekomme i kildekode eller kommentarfelter, og at databehandleren burde have gennemført relevante tests før ibrugtagning. Manglerne indebærer en overtrædelse af GDPR art. 32, fordi passende tekniske og organisatoriske foranstaltninger ikke var etableret i forhold til risiciene ved behandlingen.
Sagen understreger behovet for systematiske sikkerhedstests, kodegennemgang og klare adgangskontroller i udviklings- og driftsprocesser. Både dataansvarlige og databehandlere bør styrke kontraktgrundlag og governance for at forebygge lignende hændelser. Se afgørelsen på datatilsynet.dk. Læs også vejledningen på datatilsynet.dk.
