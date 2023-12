Datatilsynet går nu ind i sagen om ejendomsmæglerkæden EDC's store datalæk, der har ramt mange kunder.

Angrebet har ifølge Finans vist, at EDC »formentlig ikke« har overholdt GDPR-reglerne om korrekt håndtering af personfølsomme oplysninger.

Brud på GDPR-forordningen kan udløse en bøde på op til fire procent af virksomhedens årlige omsætning.

Knap 100.000 CPR-numre tilhørende EDC's kunder er blevet lækket på det såkaldte mørke internet af russiske hackere, der angreb kæden 1. november.

Hackerne lykkedes også med at få fingrene i omkring 1300 personers pas, kørekort og sygesikringsbeviser samt oplysninger som telefonnumre og adresser.

Formand i it-politisk forening, Jesper Lund, har før sagt til B.T., at EDC-kundernes mest sensitive oplysninger burde være krypteret.

B.T. har i den anledning foreholdt kritikken for EDC's informationschef, Jan Nordmann, som i et langt skriftligt svar blandt andet skriver, at fejlen »ikke så meget« bestod i manglende kryptering, »men mere i manglende sletning og opbevaring på et drev med lavere sikkerhed.«

Alligevel er manglende kryptering netop et af de emner, som Datatilsynet nu vil tage op med EDC, fortæller jurist og it-sikkerhedsspecialist hos Datatilsynet.

Tilsynet vil også spørge EDC om, hvorfor den store mængde lækkede data kunne forsvinde ud af selskabets systemer, uden at en sikkerhedsmekanisme stoppede lækket.

EDC forventer »en god og fornuftig dialog« med Datatilsynet, siger informationschef Jan Nordmann til Finans og understreger, at EDC har »haft fokus på it-sikkerhed i årevis«.