Frykter kortlekkasje fra pizzakjede

Hurtigmatkjede lagrer kortinformasjon altfor lenge, mener Datatilsynet som frykter datalekkasje.

Datatilsynet har på bakgrunn av klage fra en privatperson undersøkt hvordan hurtigmatkjeden Peppes Pizza lagrer sensitive kortopplysninger.

Sultne kunder taster inn navn, adresse, kortnummer og utløpsdato på pizzakjedens nettløsning. Men Peppes opplyser ikke at kortopplysningene lagres i tre år, skriver Aftenposten.

Utviklingen der flere virksomheter lagrer store mengder med kredittkortinformasjon i interne databaser bekymrer Datatilsynet, som frykter at dataene kan komme på avveie og bli misbrukt.

Dersom uhellet er ute, vil det ramme mange samtidig.

- Skjer det en glipp, er det sannsynlig at ikke bare ett, men flere tusen kortnummer kommer på avveie, sier overingeniør Frank Eriksen i Datatilsynet til avisen.

Det skal ifølge Eriksen ikke være noe som tyder på at kortinformasjon har lekket ut fra pizzakjeden og blitt misbrukt.

Nå varsler tilsynet at de vil se nærmere på hvordan kredittkortopplysninger håndteres i kjeder som tilbyr bestilling av mat på nett med kort. Dolly Dimples, Kina Expressen og Spice er ifølge Aftenposten blant kjedene som skal undersøkes. Felles for disse er at de skal håndtere store mengder kortopplysninger.

Datatilsynet ønsker å komme til bunns i hvilke personopplysninger som det er nødvendig å lagre ved kjøp av varer og tjenester, hvor lenge der må lagres og hvor mange personer i virksomhetene som har tilgang til informasjonen.

Det er på det rene at Peppes har lagret for mye informasjon, mener Datatilsynet.

Ifølge seniorrådgiver Christine Ask Ottesen i Datatilsynet er det ikke behov for å lagre kortnummer i nettløsninger etter at transaksjonen er gjennomført.

Hun legger til grunn en uttalelse fra Skattedirektoratet som slår fast at ifølge bokføringsloven trenger man ikke å lagre hele kortnummeret for å identifisere transaksjonen som har gått mellom en virksomhet og kortselskapene.

Datatilsynet mener at pizzakjeden Peppes må slette kortopplysningene dersom de ikke klarer å finne en annen lovhjemmel. Det er ventet at tilsynet vil komme med et vedtak i saken snart.

Pizzakjeden er selv uenig i kritikken, og ifølge IT-direktør Henrik Karlsen i Peppes Pizza skyldes lagringen at de forholder seg til regnskapsloven og krav fra kortselskapene.

Karlsen forteller til Aftenposten at det kun er han som har tilgang til kortinformasjon i kjedens database, og sier samtidig at han ikke kjenner til svindelsaker internt i virksomheten.

VISA Norge opplyser til avisen at de ikke stiller krav om lagring av kortnummer og utløpsdato i tre år. Den lengste fristen de har registrert skal være 120 dager.

    Les også:

Til toppen