Blomsterlandet är en välkänd butikskedja inom trädgårdshandeln med 59 butiker över hela landet från Malmö i syd till Luleå i norr. Kedjan har, likt många andra, också en kundklubb med ett bonussystem där kunderna kan logga in online och få information om bonuskort, bonuspoäng och köphistorik i både e-butiken och i de fysiska butikerna. Blomsterlandets kundklubb har 800 000 medlemmar.

För att logga in i kundklubben behövde fram till igår medlemmen endast uppge personnummer och postnummer. I praktiken, eftersom identifieringen sker med personnumret, fungerade alltså postnumret som ett lösenord, men bägge uppgifterna är lättillgänglig offentlig information.

Det betyder att någon annan enkelt kan logga in och se när medlemmar handlat eller ändra deras kontaktuppgifter.

– Inloggningen valdes för att det ska vara så enkelt som möjligt för våra medlemmar. Omkring hälften av våra medlemmar har ingen e-postadress, framförallt på grund av att dessa medlemmar är äldre. Av främst det skälet valdes inloggningen, säger Ulrika Stjernfelt på Blomsterlandets moderbolag S-Invest Trading.

Enligt Dataskyddsförordningen ska den personuppgiftsansvarige, i detta fall alltså Blomsterlandet, skydda personuppgifterna på ett säkert sätt, och kombinationen personnummer och postnummer är allt annat än säkert.

Har ni informerat medlemmarna i kundklubben vilka personuppgifter ni samlar in, vad de används till och hur ni skyddar dem?

– Ja, i våra medlemsvillkor framgår vilka personuppgifter vi samlar in, hur de används och hur de skyddas. Medlemmarna får information oavsett om de väljer att bli medlem i butik eller via vår hemsida. Utöver att informationen framgår av medlemsvillkoren har vi också en lättillgänglig integritetspolicy på hemsidan där informationen angående behandlingen av personuppgifter för kundklubben också framgår. Våra medlemmar får även ett välkomstbrev där vi informerar ytterligare en gång.

Efter att Computer Sweden kontaktat Blomsterlandet har företaget stängt ned inloggningsfunktionen.

– När frågan nu har väckts har vi beslutat att helt ändra inloggningen. Möjligheten att logga in via hemsidan har vi tills vidare stängt. Vi beklagar givetvis saken och har gjort behövliga ändringar. Vi arbetar just nu med en ny lösning där vi höjer säkerhetsnivån, säger Ulrika Stjernfelt.

Kommer ni att anmäla detta till datainspektionen?

– Ja. Vi tar hjälp av våra jurister för att göra en anmälan.

Läs också:
Datainspektionen granskar Inera efter 1177-läckan
Elbolag exponerade kunduppgifter på nätet – personnummer och inspelade samtal