For eksempel krever nettsiden til Santander Consumer Bank ingen annen identifikasjon enn fødselsnummer, samt en hvilken som helst e-postadresse, for å utstede et kredittkort.

I et varsel om vedtak krever Datatilsynet at praksisen endres straks. For selv om kredittkortet kun sendes til den folkeregistrerte adressen, er ikke dette tilstrekkelig sikkert.

— Folk er stort sett på jobb når posten kommer, og man vet omtrent hvor lang tid banken bruker på å sende ut et kort, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet.

Kvittering for kortet sendes kun til den e-postadressen som ble registrert ved bestillingen, dermed har du ingen mulighet til å vite at et kort er utstedt i ditt navn. I tillegg inneholder kvitteringen flere sensitive opplysninger om deg.

— Dette er svært uheldig, sier Aanensen.

«Fødselsnummer er ikke egnet til å identifisere om rett person foretar en bestilling» skriver Datatilsynet i sitt brev til Santander Consumer Bank, datert 10. september. I det varslede vedtaket krever tilsynet at denne bruken av fødselsnummer opphører, samt at det innføres nye og bedre sikkerhetsrutiner.

Santander har fått tre ukers frist til å komme med eventuelle kommentarer til brevet fra Datatilsynet. Christine Åhlander, ansvarlig direktør for avdelingen som utsteder kredittkortene, sier til BT at man ikke ønsker å kommentere saken før denne fristen.