Dansk netshop gemmer billedfiler af kunders pas i fem år

Det er guf for hackere, når netshoppen Proshop gemmer billeder af ID, mener IT-sikkerhedsekspert. Bestyrelsesformanden for netshoppen siger, at det er nødvendig praksis for at undgå identitetstyveri og svindel.

Når en kunde henter sine varer hos internethandlen Proshop, der forhandler elektronikvarer til hjemmet, bliver der ved samme lejlighed taget billeder af enten kørekort eller pas. Billedet lagres på virksomhedens servere i op til fem år.

Men det er ikke i orden, mener Anette Høyrup, seniorjurist i Forbrugerrådet Tænk.

Det skriver Berlingske.

Anette Høyrup ville selv være bekymret, hvis hendes egne oplysninger blev gemt hos en internetforretning i fem år, siger hun til Berlingske.

»Det er meget følsomme oplysninger, de indsamler.«

Udsættes virksomheden for hackerangreb, vil der dermed ligge en masse oplysninger om kunderne, som kan bruges af hackerne.

Peter Kruse, IT-sikkerhedsekspert fra CSIS, siger til Berlingske, at det særligt er problematisk, at Proshop skriver på deres hjemmeside, at billederne gemmes.

»Det er jo et tilbudsskilt at stille op, som hackerne kan kigge på.«

Bestyrelsesformand: Det er for at undgå svindel

Bestyrelsesformanden hos Proshop, Poul Thyregod, forsvarer lagringen af eksempelvis pas-billeder med, at der dels dækkes over de fire cifre i personnummeret, når billedet tages. Og så skal pasbilledet ifølge bestyrelsesformanden bruges til at undgå identitetstyveri og svindel. Proshop har ikke i sinde at ændre praksis, oplyser han.

Hos Proshop oplever de svindel for 1,6 millioner kroner årligt. Hvor meget af det, der sker ved afhentning, er der ikke oplysninger om.

At tage et billede af ID ved personlig afhentning har Ayo Næsborg-Andersen, ekspert i persondataret hos Syddansk Universitet, svært ved at se skulle forhindre svindel. Derfor undrer hun sig over, at det kun er ved den personlige afhentning og ikke ved levering, der bliver taget billeder. Foruden det kan hun ikke se, at Proshops praksis overhovedet er lovlig.

Poul Thyregod mener nu nok, at praksis er lovlig. Det har han tjekket via en telefonsamtale med Datatilsynet. Det er dog svært at bevise, for Datatilsynet noterer som udgangspunkt ikke samtaler af den karakter, oplyser Astrid Mavrogenis, jurist og kontorchef hos Datatilsynet.