Danske Bank: viser kunders beskyttede adresser overfor tusindvis af kunder og oplyser først om det 264 dage efter
En omfattende fejl i Danske Banks it-systemer har medført, at tusindvis af kunder med adressebeskyttelse utilsigtet har fået deres oplysninger videregivet. Sagen rejser alvorlige spørgsmål om databeskyttelse, sikkerhedsprocedurer og bankens håndtering af følsomme personoplysninger. Eksponeringen har stået på over flere måneder uden at blive opdaget af bankens interne kontroller. Først nu orienteres de berørte kunder, hvilket skærper fokus på både retsstilling og ansvar. Det skriver Finans og JP.DK i et samarbejde.
Danske Bank har erkendt, at en systemfejl har ført til, at i alt ca. 20.600 kunders beskyttede adresser er blevet eksponeret i forbindelse med indenlandske pengeoverførsler i perioden fra den 24. juli til den 21. oktober 2025. Fejlen blev først identificeret i oktober 2025, men kunderne modtager først underretning flere måneder senere.
Ifølge banken skyldes hændelsen en menneskelig fejl i forbindelse med en planlagt systemopdatering, hvor eksisterende sikkerhedskontroller ikke opfangede afvigelsen. Det har medført, at modtagere af betalinger i visse tilfælde har haft adgang til oplysninger om afsenders beskyttede adresse via kontoudskrifter, netbank og mobilbank.
Brug for juridisk, international eller økonomisk rådgivning?
Kontakt vores danske specialister direkte på et af vores kontorer:
Advokat og Revisor Samvirket – Professionel rådgivning siden 1991
Eksponeringens karakter og omfang
De eksponerede oplysninger er opstået i forbindelse med almindelige kontooverførsler, hvor modtageren har fået adgang til detaljerede betalingsoplysninger. Det gælder både privatpersoner, virksomheder og offentlige myndigheder, som har modtaget betalinger fra kunder med adressebeskyttelse.
Oversigt over hændelsen:
| Emne | Beskrivelse |
|---|---|
| Antal berørte kunder | Ca. 20.600 |
| Periode for eksponering | 24. juli til 21. oktober 2025 |
| Type af eksponering | Beskyttede adresser i betalingsdata |
| Transaktionstype | Indenlandske kontooverførsler |
| Ikke berørt | MobilePay, kortbetalinger og fakturabetalinger |
De berørte kunder har i gennemsnit gennemført cirka fem transaktioner i perioden, hvilket indebærer en betydelig spredning af de følsomme oplysninger.
Retlige rammer og databeskyttelse
Sagen skal vurderes i lyset af databeskyttelsesforordningen (GDPR), særligt:
- Artikel 5 om principper for behandling af personoplysninger
- Artikel 32 om passende tekniske og organisatoriske sikkerhedsforanstaltninger
- Artikel 33 om anmeldelse af brud på persondatasikkerheden
- Artikel 34 om underretning til registrerede personer
Ifølge Databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679) artikel 32 skal dataansvarlige implementere passende sikkerhedsforanstaltninger for at beskytte personoplysninger mod utilsigtet eller ulovlig tilintetgørelse, tab eller videregivelse.
Relevant praksis kan blandt andet ses i Datatilsynets afgørelser, hvor tilsvarende hændelser er blevet vurderet:
https://www.datatilsynet.dk/afgoerelser
Eksponering af adressebeskyttede oplysninger anses som en særlig alvorlig overtrædelse, da sådanne oplysninger typisk vedrører personer med behov for øget sikkerhed, eksempelvis i sager om stalking, vold eller vidnebeskyttelse.
Bankens håndtering og myndighedsreaktion
Danske Bank har oplyst, at:
- Datatilsynet er blevet underrettet
- Finanstilsynet er orienteret
- Der er indledt dialog med andre pengeinstitutter om sletning af data
- Synligheden af adresser er fjernet i egne systemer
Det fremgår dog, at det ikke har været muligt at slette oplysninger, som allerede er distribueret via kontoudskrifter sendt til modtagere, enten digitalt eller fysisk.
Dette rejser spørgsmål om irreversibel dataspredning, hvilket i praksis betyder, at skaden ikke fuldt ud kan begrænses.
Kundernes rettigheder
De berørte kunder er blevet orienteret om deres rettigheder, som blandt andet omfatter:
- Ret til at indgive klage til Datatilsynet
- Ret til erstatning efter GDPR artikel 82
- Mulighed for at indbringe sagen for domstolene
Oversigt over rettigheder:
| Rettighed | Indhold |
|---|---|
| Klageadgang | Indgivelse til Datatilsynet |
| Erstatning | Økonomisk kompensation for skade |
| Retlig prøvelse | Indbringelse for domstolene |
Efter dansk retspraksis kan der tilkendes godtgørelse for ikke-økonomisk skade ved brud på persondatasikkerheden, jf. databeskyttelsesloven § 41.
Kritisk vurdering og ansvar
Det fremgår af udtalelser fra bankekspert Lars Krull, at sagen må betegnes som særdeles alvorlig. Der lægges vægt på, at der ikke er tale om en mindre fejl, men en systemisk svigt i håndteringen af særligt beskyttede oplysninger.
Særligt kritisk er det forhold, at:
- Fejlen har stået på i flere måneder
- Interne kontroller ikke opdagede problemet
- Kunderne først orienteres væsentligt senere
Dette kan indikere manglende compliance med GDPR’s krav om hurtig underretning, jf. artikel 34.
Sammenhæng med tidligere sager
Sagen indskriver sig i en række tidligere sager vedrørende Danske Bank, herunder:
- Hvidvasksagen i Estland
- Overopkrævning i investeringsprodukter
- Inkassosager relateret til ejendomssalg
Den gentagne forekomst af alvorlige sager kan få betydning for vurderingen af bankens interne governance og risikostyring.
Kilde: Finans, JP.DK, Jesper Christiansen, Advokat og Revisor Samvirket, AORS.DK
Fotokredit: Danske Bank – det nye hovedssæde i Postbyen. Fotograf ikke angivet.
Personer/Firmaer/Emner/#: #DanskeBank, #Datatilsynet, #Finanstilsynet, #GDPR, #Persondata, #Adressebeskyttelse, #ITsikkerhed, #Bankret, #Erstatningsret
Copyrights: Ⓒ 2026 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.
