Varsler gebyr til politiske partier

De to politiske partiene Sosialistisk Venstreparti (SV) og Miljøpartiet De Grønne (MDG) er varslet om overtredelsesgebyr for dårlig informasjonssikkerhet, en mangel som medførte at uvedkommende fikk tilgang til medlemsopplysninger.

Begge de to partiene benyttet samme medlemssystem, og i løpet av juni 2016 ble de utsatt for en rekke angrepsforsøk. Inntrengeren klarte i begge tilfellene og ta over brukere for så å skaffe seg tilganger og rettigheter. Slik kom medlemsopplysninger på avveier.

Sensitiv informasjon må sikres

- Politisk oppfatning er definert som en sensitiv personopplysning i personopplysningsloven. Dette betyr at medlemsregisteret inneholder sensitiv informasjon som må sikres så opplysningene ikke kommer på avveier. Mangelfull sikring vil øke sannsynligheten for sikkerhetsbrudd, sier avdelingsdirektør Helge Veum i Datatilsynet.

- Det er viktig å sikre slike opplysninger godt og en sterk autentisering, ville trolig kunne forhindret hendelsene. Begge partiene får derfor gebyr for mangelfulle sikkerhetstiltak.

Ulikt gebyr

SV har fått varsel om et overtredelsesgebyr på 150 000 kroner, mens MDG er varslet om 50 000 kroner.

Årsaken til ulikheten er at Datatilsynet allerede i 2012 var på tilsyn hos SV og påpekte blant annet mangelfull risikovurdering og manglende bruk av sterk autentisering. Av ulike årsaker var funksjonen for to-faktorautentisering fremdeles ikke aktivert sommeren 2016 da de ble utsatt for datainnbrudd. I skjerpende retning blir det derfor lagt vekt på at SV ikke har fulgt opp Datatilsynets varsel om å benytte sterk autentisering.

Når det gjelder MDG får de gebyr for ikke å ha foretatt en egen risikovurdering og de har ikke iverksatt gode nok tekniske tiltak for å forebygge slike hendelser.

Begge partiene meldte avvikene til Datatilsynet selv, noe som anses som formildende i vurderingen av gebyrets størrelse.

Last ned

Varsel om overtredelsesgebyr til SV (pdf)

Varsel om overtredelsesgebyr til MDG (pdf)