Razer exponerar kontouppgifter för över 100 000 medlemmar

Raderade mitt konto då jag ändå inte använder något från Razer och kommer nog inte göra i framtiden heller!

Men för fan, du lämnar dina uppgifter frivilligt. Du kommer aldrig ifrån human error. Så vill du inte löpa risken att bli exponerad regga dig inte... Om man ska kunna straffas för en "olycka" så är det snart ingen som vill bedriva någon verksamhet.

Förnman å efternamn räcker nog inte ? måste kunna knytas till personnr & eventuellt till vad du har handlat ? Annars finns det inga bevis för att det är du oavsett ? Inte för att personnr heller nödvändigtvis bevisar det..

Jag refererar naturligtvis till inläggen jag svarade på gällande lösenordshantering vilket begränsar tolkningsmöjligheterna i mitt svar. Svarar jag på inlägg om lösenordshantering i en artikel om exponerade lösenord på Razers servrar borde det inte vara så svårt att förstå vad jag syftar på kan man tycka. Det finns ett ord för det.
För övrigt berörde jag inte själva problematiken med exponerade lösenord som potentiellt kan uppstå för det är en annan frågeställning.

Personnummer? Svensk företeelse, liknande system finns i andra länder, men ett flertal saknar det. Finns inga skäl för Razor att fråga efter det eller lagra det.

Dock så innehåller de exponerade uppgifterna även leveransadress och det tillsammans med förnamn och efternamn borde vara tillräckligt för att hamna i problem med GDPR.

(Lite OT-kuriosa, emailadresser på formen namn.efternamn@företag måste lagras korrekt enligt GDPR.)

GDPR tvingar företag att ha rutiner och ett tydligt rapporteringskrav vid incidenter. Om något läcker ut och företaget innan har arbetat fram arbetssätt och rutiner som är tänkta att förhindra detta så får de normalt inget straff. Visar det sig dock att de inte gjort tillräckligt eller ingenting alls så finns det möjligheter för myndigheter att straffa.

Fast GDPR gäller ju bara för företag i EU. Razer är väl amerikanskt?
Så länge de inte har webbsajten i EU så går de fria från GDPR.

Dock så om GDPR gäller så är det stränga regler som gäller. Det går inte att komma undan med "human error". Åtminstone måste man kunna visa att man har klara regler och rutiner för hur persondata hanteras samt mycket tydlig dokumentation om hur det görs, vem som ansvarar för vad, hur och när data används och hur det raderas när det inte längre behövs osv. Den här dokumentationen och reglerna ska löpande ses över och vara up-to-date. Regelverket från EU gällande GDPR är stenhårt!

Behandlar de EU-medborgares data så gäller GDPR för dem också, vilket är varför ett flertal, oftast mindre, tidningar på nätet numera helt blockerar personer i EU från att läsa deras sidor.