Majoituspalveluyritys Forenomin suojatoimet olivat puutteellisia, kun sen asiakkaiden itsepalveluportaaliin tehtiin tietomurto maaliskuussa 2020, tietosuojavaltuutetun toimiston päätöksessä sanotaan.
Tutkinnan perusteella tietomurto toteutettiin SQL-injektiolla, joka on varsin yleinen hyökkäys tietoturva-aukkoja vastaan. Hyökkääjä oli suorittanut automaation avulla useita erilaisia komentoja, joista ainakin yksi oli hyödyntänyt tietokannan rajapinnan haavoittuvuutta.
Haavoittuvuuksien havaitsemiseksi ja korjaamiseksi Forenom olisi voinut suorittaa säännöllisempää testausta.
Forenom saa tietosuojavaltuutetulta paitsi huomautuksen puutteellisista suojatoimista henkilötietojen osalta myös määräyksen lyhentää tietojen säilytysaikaa. Tietoturvaloukkauksesta tuli useita kanteluita, joissa rekisteröidyt kertoivat olleensa Forenomin asiakkaita yli kymmenen vuotta sitten.
Henkilötietojen säilytysajan oltava mahdollisimman lyhyt
Tietosuojavaltuutetun saaman selvityksen mukaan Forenom kertoi säilyttävänsä kaikkia majoitus- ja vuokrasuhteeseen liittyviä asiakastietoja kymmenen vuotta, jotta se voisi muun muassa varautua mahdollisiin vahingonkorvauskanteisiin.
Tietosuojavaltuutettu piti kuitenkin ilmeisenä, että mahdollisia riitatilanteita selvitetään yleensä nopeasti vuokrasuhteen päättymisen jälkeen. Sellaisissa tapauksissa tietoja voidaan säilyttää pidempään.
Tietosuojavaltuutettu katsoo, että Forenom ei ollut noudattanut tietojen minimoinnin ja säilytyksen rajoittamisen periaatteita. Yleisen tietosuoja-asetuksen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen kannalta. Henkilötietojen säilytysajan on oltava mahdollisimman lyhyt.
Tietomurron jälkeen Forenom oli itse lyhentänyt henkilötietojen säilytysaikaa, mutta määritellyt säilytysajan kirjanpitolain perusteella, tietosuojavaltuutetun päätöksessä sanotaan.
Tietosuojavaltuutettu muistuttaa, että kirjanpitolakia ei voi käyttää perusteena säilyttää sellaisia henkilötietoja, joiden säilyttämistä ei edellytetä kirjanpitolaissa. Tietosuojavaltuutettu määräsi yrityksen lyhentämään säilytysaikaa siltä osin kuin tietoja ei tarvitse säilyttää kirjanpidon tai muiden lakisääteisten velvoitteiden noudattamiseksi.