De Deense tak van supermarktketen Coop heeft de privacywetgeving overtreden door persoonlijke data van honderden medewerkers zonder adequate toegangscontrole op een gedeelde netwerkschijf te plaatsen. Daarmee heeft het bedrijf de Deense uitwerking van de GDPR overtreden, zo stelt de Deense privacytoezichthouder. De Deense Coop komt er echter vanaf met een reprimande.
Tijdens het testen van een nieuwe scantool ontdekte de supermarkt dat persoonlijke informatie van 477 medewerkers en externe adviseurs op een gedeelde netwerkschijf was opgeslagen. Het ging onder andere om gezondheidsgegevens, financiële informatie en de Deense tegenhanger van het burgerservicenummer. Sommige van de gegevens waren zelf door medewerkers op de schijf geplaatst, terwijl andere data daar door Coop als onderdeel van het arbeidsproces was opgeslagen.
De persoonlijke data dateerde van 2013 tot en met 2017. Volgens de supermarktketen hanteerde het destijds een ander beleid voor gebruikersmanagement dan vandaag. De Deense toezichthouder stelt dat Coop als dataverwerker maatregelen had moeten treffen om de gegevens te beschermen, maar dit heeft nagelaten te doen. Zodoende konden de gegevens van 2013 tot en met 2021 door personeel worden benaderd.
Na ontdekking van de gegevens waarschuwde Coop de Deense privacytoezichthouder en waarschuwde uiteindelijk ook alle betrokken personen. Inmiddels is de supermarktketen bezig met de overstap naar een veiligere oplossing die beter gebruikersmanagement en logging biedt. "Het is dan ook de verwachting van het bedrijf dat het risico op soortgelijke inbreuken in de toekomst zal afnemen", aldus de privacytoezichthouder, die "ernstige kritek" op de werkwijze van Coop uit, maar geen verdere maatregelen neemt en de zaak heeft gesloten.
Deze posting is gelocked. Reageren is niet meer mogelijk.