Irettesettelse til Telenor for manglende personopplysningssikkerhet

Vi har gitt en irettesettelse til Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.

En sikkerhetsfeil har gjort det mulig for uvedkommende å få tilgang til mobilsvarene til om lag 1,3 millioner kunder ved å bruke såkalte «spoofing-tjenester». Datatilsynet mener at Telenor Norge AS ikke hadde iverksatt tilstrekkelige sikkerhetstiltak. Sårbarheten i talepostkassefunksjonen hadde vært der i flere år.

- Urettmessig hacking av talepostkasser ved bruk av «spoofing-tjenester» har vært et kjent problem i en årrekke. Etter vår vurdering skulle Telenor ha avdekket sårbarheten i talepostkassefunksjonen på et tidligere tidspunkt, sier seksjonssjef Ylva Marrable i Datatilsynet.

Datatilsynet sendte Telenor Norge AS et varsel om irettesettelsen tidligere i år. Våre vurderinger i saken er uendret siden den gang.

Leverte ikke avviksmelding

Sårbarheten dreide seg altså om et stort antall abonnenter. Beskjedene i telefonsvar kan inneholde mye forskjellig informasjon og dette innholdet har i stor grad ligget utenfor Telenors kontroll. Dette er momenter som taler for at Telenors sikkerhetstiltak ikke var tilstrekkelige.

- Vi vedtok også irettesettelsen på grunnlag av manglende avviksmelding til Datatilsynet. Vi mener at Telenor Norge AS skulle ha meldt sikkerhetsbruddet til oss så snart de ble kjent med sårbarheten, sier Marrable.

Gebyr fra Nkom

Nasjonal kommunikasjonsmyndighet (NKOM) har tidligere fattet vedtak om overtredelsesgebyr på 1.5 millioner for brudd på ekomloven, for samme forhold som Datatilsynet har vurdert. For å forhindre at Telenor Norge AS blir straffet to ganger for samme overtredelse, valgte vi å gi selskapet en irettesettelse. 

To brudd på forordningen

Irettesettelse er en reaksjonsform som ble innført med det nye personvernregelverket, og betyr at vi har konstatert at loven er brutt. I denne saken mener vi følgende bestemmelser i personvernforordningen er brutt:

  • Brudd på personvernforordningen artikkel 32 nr. 1, ved at det ikke er gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen,
  • Brudd på personvernforordningen artikkel 33, for manglende melding til Datatilsynet om brudd på personopplysningssikkerheten (avviksmelding).