Hvad skal du gøre hvis du modtager en indsigtsanmodning fra 'WeAreDavid' app'en?

I efteråret 2018 dukkede der en ny 'service' op i form af app'en 'WeAreDavid'. Her kan man som registreret vælge mellem en lang række virksomheder og med ét klik sende dem alle en anmodning om indsigt i sine persondata. I udgangspunktet fint, problemet er bare at den samtidig forsøger at tvinge virksomhederne til at benytte deres service!

En af vores kunder modtog tilbage i november 2018 en mail fra 'WeAreDavid'. Det viste sig at være en indsigtsanmodning på vegne af en person, vi kan jo kalde ham 'John Doe'. 'John Doe' havde åbenbart udvalgt vores kunde i app'en 'WeAreDavid' og den vej igennem sendt indsigtsanmodningen.

Vi kendte på daværende tidspunkt ikke til 'WeAreDavid' og lidt research viste da også, at selskabet netop havde lanceret deres app nogle dage forinden, så de var helt nye i markedet. I mailen gøres man meget bestemt opmærksom på, at denne indsigtsanmodning skal tages seriøst, at henvendelsen sker ud fra lovmæssige krav, at man har 30 dage til at svare, samt at overtrædelse kan resultere i bøde/straf fra tilsynsmyndighederne. Man kunne være på nippet til at sige, at de er en anelse truende i deres mail (se mail senere i teksten).

Der ud over benytter de også mailen til at fortælle om deres services, herunder at man ved at bruge deres 'David Service Desk' service, som virksomhed nemt og sikker kommunikere med 'John Doe'. Altså indeholder mailen også nogle ret direkte markedsføringsbudskaber (spam...) for deres service. Det vender vi tilbage til senere.

Kan man være sikker på personens identitet?

Når en person beder om indsigt i de personoplysninger en virksomhed behandler, så skal man som virksomhed sikre sig, at de data man evt. udleverer rent faktisk omhandler den givne person. Med andre ord skal man sikre sig identiteten på personen, for hvis man udleverer forkerte oplysninger, så begår man jo et brud på persondatasikkerheden.

I den mail man modtager fra 'WeAreDavid' står der kun personens navn, i dette tilfælde 'John Doe'. Det i sig selv er jo ikke nok til entydigt at identificere personen, hvorfor man er nødsaget til at oprette sig på deres service for at få mere info (mere om det senere). Men selv hvis man opretter virksomheden på servicen og indleder en dialog med 'John Doe', kan man så være sikker på, at han faktisk er hvem han udgiver sig for?

Nej! 'WeAreDavid' app'en har en helt central fejl i deres egen verifikation af brugere der opretter sig på app'en. Således er det muligt at oprette en profil ved at angive fornavn, efternavn og e-mail, dog uden at man behøver at verificere e-mailen!!! Dvs. hvis man som virksomhed indledte en dialog med 'John Doe' og via servicen fik adgang til 'John Does' e-mail, for at bruge denne som nøgle til at finde data, så kan man ikke være sikker på at e-mailen ikke er falsk!

Er 'WeAreDavid' app'en i øvrigt sikker at bruge?

Lad os antage at man har downloaded 'WeAreDavid' app'en på sin telefon og har bedt om indsigt hos en række virksomheder. Disse virksomheder har så svaret og indsendt en masse fortrolige og følsomme personoplysninger i app'en. Nu får du stjålet din telefon og du havde ikke lige fået den låst. Du skynder dig at logge på hjemmesiden for 'WeAreDavid' og ændre dit password. Nu tænker du, at ingen kan få adgang til de fortrolige og følsomme data der ligger på app'en på telefonen, for du har jo ændret password.

Forkert! App'en er nemlig som standard altid logget ind, så selv om du skifter password, så vil tyven have fuld adgang til data i app'en! Som minimum burde app'en logge den eksisterende bruger ud i det sekund det central password ændres, men det gør den ikke!

Er det et krav at man oprette sig og besvarer gennem 'WeAreDavid'?

Nej! Ret kort tid efter 'WeAreDavid' havde set dagens lys, var Datatilsynet ude med en nyhed omkring indsigt via app's. Som det fremgår nederst i nyheden, så skriver Datatilsynet:

Så Datatilsynet bekræfter, at de ikke kan tvinge virksomhederne til at oprette sig på deres service.

Hvad skal man så gøre, hvis man modtager en indsigtsanmodning fra WeAreDavid?

Hvis man ud fra navnet 'John Doe' kan identificere én person eks. i sin kundedatabase og man har personens e-mail, så bør man rette henvendelse direkte til personen på e-mail og den vej igennem få verificeret om personen har bedt om indsigt og så ellers føre indsigtanmodningen som man plejer. Det bør man, da Datatilsynet også fremhæver følgende:

Omvendt hvis man i sine systemer har mange personer der hedder 'John Doe' og altså ikke entydigt kan identificere én person, så mener vi ikke at man kan besvare anmodningen og vi mener heller ikke man kan blive stillet til ansvar for manglende besvarelse.

FDIH og Horesta er heller ikke glade for WeAreDavid

I en nyhed fra FDIH d. 3. januar, beskriver de, hvordan de har modtaget mange henvendelser fra deres medlemmer omkring app'en, samt at de betragter disse "servicemails" som spam efter Markedsføringslovens §10. Denne betragtning er vi helt enige i! Vi vil derfor også gerne opfordre til, at hvis du har modtaget en af disse "servicemails", at du sender den til FDIH, da de så vil samle sammen og gå til Forbrugerombudsmanden med sagen.

Brancheforeningen Horesta er heller ikke synderligt begejstret for app'en. De skrev allerede tilbage i november 2018 om app'en og de var også allerede dengang i kontakt med Forbrugerombudsmanden om deres markedsføring i disse "servicemails"...

Hvad siger folkene bag WeAreDavid app'en?

Stifter og CEO for WeAreDavid, Steen Haunstrup, er ivrig for at kommentere og dementere på diverse medier. Han afviser både at der skulle være tale om overtrædelse af markedsføringsloven, samt at deres app og service skulle have udfordringer med sikkerheden. Vi er selvsagt ikke enige i hans dementier og stiller os i gruppen af kritikkere, men læs evt. selv og bedøm:

- Artikel i Version2 med langt kommentarspor omkring app'ens sikkerhed
- Nyhed fra FDIH med kommentar omkring "servicemails"
- Artikel på LinkedIn skrevet af Steen selv, som dementi på FDIH's påstande

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning om den konkrete behandling, hvis du vil være sikker på at overholde reglerne.