Manglende sikring av personopplysningene i norske nettbutikker

En ny undersøkelse gjennomført av KPMG viser at forbrukere bør være seg langt mer bevisste på hvilke personopplysninger de oppgir når de handler på nett. I undersøkelsen har KPMGs cybersikkerhetsteam opprettet kundekontoer (uten å gjennomføre en handel) på 40 av landets ledende nettbutikker, og de har vurdert hva som kreves av personopplysninger. Navn, adresse og postnummer ber de fleste nettstedene om, noe som er naturlig i en nettbutikk. I tillegg kreves det flere steder kjønn, telefonnummer, fødselsdag og personnummer.

Det er ingen grunn til at nettbutikker trenger personnummeret ditt for å opprette en konto. Dette er en opplysning vi aldri ville ha oppgitt om vi hadde gått inn i en fysisk butikk. På nettet tar vi gjerne litt lettere på slike ting, men vi må ikke glemme at vi selv er ansvarlige for opplysningene vi gir fra oss.

For vet vi egentlig hvordan disse opplysningen blir lagret og håndtert? I undersøkelsen forsøkte Cyber-teamet også å avslutte kontoene. På 16 av 40 sider ble kontoen stengt innen én dag (noe som ikke automatisk betyr at personopplysningene blir slettet). På kun to steder kunne man gjøre dette selv på nett, på de resterende måtte man ta kontakt med kundeservice, enten via epost, chat eller telefon. På fire nettbutikker måtte de ta en telefonsamtale for å gjøre dette. Fem steder sa at de ville sperre kontoen, mens ni nettbutikker ikke svarte.

Noen nettbutikker opplyste at de stengte kontoen, men at de fortsatt ville lagre opplysningene. Med andre ord, opplysningen forblir i systemet uten at man vet hvordan de vil bli brukt i fremtiden. Dette er ikke i henhold til riktig håndtering av personopplysninger.