Nationwide indrømmer dårlig IT-sikkerhed og compliance
Den engelske byggefinansieringsinstitut Nationwide Building Society er af Financial Services Authority (FSA), blevet idømt en bøde på
£980.000 for manglende procedurer omkring IT-sikkerhed og kontrol i forbindelse med tyveri af en bærbar computer. Tyveriet resulterede i
risiko for tab af personlige data for et ukendt antal kunder. Bøden blev nedsat 30% fra £1,4 mill. til £980.000 på grund af Nationwides
hurtige indrømmelse overfor FSA.
Den bærbare computer blev stjålet fra en medarbejders hjem i august 2006. Selv om medarbejderen straks informerede sin arbejdsgiver om
tyveriet, gik der hele tre uger før det gik op for Nationwide at computeren indeholdt usikrede konfidentielle data.
Nationwide, som er englands største og ifølge Wikipedia verdens største indenfor kreditgivning til byggeri (11 mill. kunder), vil ikke
oplyse om FSA har tvunget eller rådgivet dem til at informere alle berørte kunder om den mulige læk af personlige informationer. FSA vil
heller ikke udtale sig herom.
FSA har oplyst at det før har været diskuteret at tvinge finansielle virksomheder til straks at informere kunder om brud på datasikkerhed.
FSA har muligheden for generelt at indføre et sådant regulativ, men den finansielle sektor har indtil nu været meget imod en sådan regel.
Nogle eksperter mener at lovgivning om tvungen information til kunder, ville gøre virksomhederne mere omhyggelige og ansvarlige i omgangen
med kunders personlige information.
En repræsentant for ICO, The Information Commissioner’s Office, som er ansvarlig for overvågning af compliance i henhold til Data Protection
Act, indrømmer at indførelse af et regulativ som modsvarer lovgivning i Californien, kunne være relevant at overveje.
Det californiske regulativ som refereres til er Califormia Civil Code Section 1798.8 (tidligere kendt som California State Bill 1386),
som blev vedtaget i 2003. Regulativet pålægger enhver virksomhed straks at informere personer hvis ukrypterede personlige data kan være
blevet tilgængelig for uvedkommende.
Hvad siger den danske Persondatalov?
Persondataloven hedder officielt Lov nr. 429 af 31/5/2000 ”Lov om behandling af personoplysninger”.
Afsnit 4, kapitel 11, §41, stk. 3:
Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller
ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i
strid med loven. Tilsvarende gælder for databehandlere.
Læs FSA's dom over Nationwide Building Society
Ring 7022 0172 hvis du vil høre hvordan DocTech kan sikre jeres virksomhed mod lignende problemer.
Download Persondataloven og andre regulativer her
Læs mere om sikring af bærbare computere og andre mobile enheder her
