Datainspektionen har granskat kreditupplysningsföretaget Bisnode Kredit och har då särskilt undersökt hur bolaget verifierar identiteten på användare som ska ta del av kreditupplysningsinformation.

Bolaget har fyra olika sätt att autentisera användare, det vill säga att verifiera identiteten. Detta görs via antingen e-post, en app eller ett sms som innehåller en länk eller en kod. Datainspektionen anser att vanlig, oskyddad e-post inte kan användas för att säkerställa identiteten på den som loggar in och förelägger företaget att upphöra med den inloggningsmetoden.

– Att autentisera användare via en app eller ett sms som innehåller en länk eller en kod skulle kunna ge tillräckligt hög säkerhet, men eftersom företaget inte kontrollerar att den mobiltelefon som knyts till användarens konto hos Bisnode verkligen hör till användaren i fråga så uppnår företaget inte heller med de tre andra sätten tillräckligt hög nivå av säkerhet, säger Datainspektionens it-säkerhetsspecialist Magnus Bergström.

Datainspektionens förelägger därför Bisnode att ändra sina rutiner för att höja säkerheten. Ska sms-verifiering användas måste registreringen av användare kopplas till ett i förväg känt telefonnummer. Ska företagets app användas för autentisering måste företaget säkerställa vem som står bakom registreringen av appen.