Datatilsynet udtaler alvorlig kritik af BEC

Datatilsynet udtaler alvorlig kritik af BEC, der udvikler og driver it til en række danske pengeinstitutter. Der er ikke indstillet en bøde i sagen, som Datatilsynet nu har afsluttet.

Det sker, efter BEC i august 2019, som tidligere omtalt i pressen, identificerede en fejl i sine it-systemer, som berørte visse pengeinstitutkunder, der havde adressebeskyttelse i CPR-registeret. Fejlen betød, at en andel af de kunder i BEC-pengeinstitutterne, som havde beskyttede adresser, ved visse pengeoverførsler havde fået videregivet deres beskyttede adresser til dem, de havde overført penge til. Fejlen blev dengang rettet, og alle kunder blev informeret.

”Vi har fuld forståelse for Datatilsynets afgørelse. BEC og de involverede pengeinstitutter beklager endnu en gang dybt over for de kunder, som utilsigtet har fået videregivet deres beskyttede adresser,” siger Kurt Nørrisgaard, administrerende direktør i BEC.

For at forebygge hvidvask og terrorfinansiering skal betalingsafsenderens adresse medsendes ved pengeoverførsler til udlandet. Det samme er aftalt i sektoraftaler om pengeoverførsler i Danmark. Sektoraftalerne og CPR-loven behandler ikke adressebeskyttelse ved pengeoverførsler, men både BEC og Datatilsynet har lagt til grund, at det er lovens hensigt, at beskyttede adresser ikke skal videregives ved pengeoverførsler inden for landets grænser.

”De fleste overfører ikke penge til nogen, som ikke må kende deres adresser – det er nok også derfor, fejlen ikke blev opdaget før. Men i visse situationer kan det være vigtigt for afsenderen at holde sin adresse hemmelig. Så snart vi opdagede problemet, satte BEC og pengeinstitutterne derfor omfattende kræfter ind på hurtigt at rette fejlen, orientere alle de berørte kunder, orientere Datatilsynet og fjerne de videregivne adresser i beløbsmodtagernes netbanker med videre,” siger Kurt Nørrisgaard.

Datatilsynet nævner som en skærpende omstændighed, at flere end 20.000 kunder har været berørt af fejlen, som har været til stede i næsten fire år, inden den blev opdaget.

Samtidig nævner Datatilsynet som formildende omstændighed, at modstridende regler i EU-regulering og den danske CPR-lov kan have været en medvirkende årsag til, at BEC ikke entydigt har kunnet afgøre, om adresseoplysninger skulle medsendes eller ej.

Endelig lægger Datatilsynet vægt på, ”at BEC hurtigt og effektivt – efter bruddets konstatering – har bragt bruddet til ophør og foranlediget alle de videregivne adresser slettet”.

Læs også: Datatilsynets afgørelse om brud på persondatasikkerheden

Pressekontakt: Kommunikationsdirektør Simon Gabrielsen: 21 67 39 29 / sig@bec.dk