Datalæk
Orientering om sikkerhedshændelse i LAVPRIS-LAASE.DK ApS
I overensstemmelse med databeskyttelsesforordningens artikel 34 skal vi hermed informere om en sik-kerhedshændelse hos LAVPRIS-LAASE.DK ApS, CVR-nummer 30 20 47 27, der blev konstateret den 13. september 2024.
Beskrivelse af sikkerhedshændelsen
Vi har ved en fejl fået åbnet et Feed til google så de kunne læse kundeoplysninger og offentliggøre disse, så hvis man f.eks var en del af lækket og søgte på sit navn så kunne man se sine oplysninger på google med et link til vores hjemmeside.
Et Feed er en forbindelse fra vores hjemmeside og til Google hvor google henter alle vores data som skal bruges til markedsføring, normalt indeholder dette feed kun produkter og ikke Persondata.
Feedet indeholdt et udsnit af kundedata på ca 10 % (ca 2000 personer) af vores kundedatabase, så ikke alle vores kunder har været berørt.
Feedet er lagt op ca 48 timer før vi opdagede lækket så oplysningerne kan have været tilgængelige allerede fra den 11 September.
Vi har den 27 maj 2024 desværre haft en lignende sag sket på samme måde som ovenstående og derfor har vi strammet op overfor vores Databehandler.
De berørte oplysninger har således været tilgængelige for uvedkommende, hvorved der er risiko for, at de kan være kommet til disses kundskab. Det er vigtigt at understrege, at det ikke kan dokumenteres, hvor-vidt oplysningerne rent faktisk er kommet til uvedkommendes kundskab, og hvilke af ovenstående oplys-ninger der i så fald er omfattede.
Vi kan dog oplyse, at oplysningerne omfatter vores kunders kontaktoplysninger i form af navn, adresse og i enkelte tilfælde også e-mailadresse.
Disse oplysninger har vi behandlet som led i vores varetagelse af kundeforholdene.
De sandsynlige konsekvenser af sikkerhedshændelsen
I det omfang oplysningerne skulle være kommet til uvedkommendes kundskab, vurderes de mulige kon-sekvenser af sikkerhedshændelsen at være følgende:
- Henvendelser fra erhvervsdrivende/fysiske personer som post eller e-mail (spam)
- Offentliggørelse eller videregivelse af oplysninger om dig, hvilket kan udgøre fortrolige oplysninger, f.eks. såfremt du måtte have navne- og adressebeskyttelse i CPR-registret
- Forsøg på at udgive sig for at være dig ved at bruge dine oplysninger
- Forsøg på phishing og lignende mod andre i din omgangskreds, hvor nogen uretmæssigt udgiver sig for at være dig
Du opfordres derfor til at være opmærksom på ovenstående forhold. Du kan overveje at orientere din arbejdsplads/omgangskreds om hændelsen, således de kan forholde sig kritisk til eventuelle henvendelser, hvor du står anført som afsender, ligesom du bør forholde dig kritisk til henvendelser. Du kan i øvrigt søge råd og information på https://www.sikkerdigital.dk/.
Foranstaltninger, som vi har truffet for at håndtere sikkerhedshændelsen
Vi har samme dag, vi opdagede lækket, den 13. september 2024, stoppet Googles indeksering af siden og tilbagekaldt alle oplysninger, der har været offentliggjort. Fra vi tilbagekaldte indekseringen, til alt var væk, gik der under 20 timer. I alt har oplysningerne været tilgængelige på Google i op til 36 timer.
Vi har implementeret en ny procedure for frigivelse af feeds til Google, ligesom vores underleverandør har implementeret nye procedurer i deres processer, der har berøring med feeds. Vi har samtidig foretaget en revision af de procedurer, vores underleverandør har implementeret.
Yderligere information og kontaktoplysninger
Såfremt du har spørgsmål til sikkerhedshændelsen, herunder om og hvilke af dine oplysninger, der er blevet berørt af hændelsen, bedes du tage fat i Thomas Duus Jürgensen på telefonnummer 27377124 eller e-mail Thomas@lavpris-laase.dk.
Vi beklager meget de gener, det eventuelt måtte have medført dig.
På vegne af LAVPRIS-LAASE.DK ApS
Thomas Duus Jürgensen