Varsel om irettesettelse mot Telenor Norge AS

Vi varsler vedtak om irettesettelse mot Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.

Det har gjennom flere år vært mulig å hacke mobilsvar gjennom «spoofing-tjenester» og avlytte meldingene til omlag 1,3 millioner mobilabonnenter i Norge.

- Vi mener at Telenor Norge AS ikke har iverksatt tilstrekkelige sikkerhetstiltak for å verne personopplysningene som formidles gjennom talepostkassefunksjonen, sier seksjonssjef Ylva Marrable i Datatilsynet. 

Brudd på personvernforordningen

Dette er et forhåndsvarsel etter forvaltningsloven om at Datatilsynet fatter vedtak om irettesettelse mot Telenor Norge AS for:

  • Brudd på personvernforordningen artikkel 32 nr. 1, ved at det ikke er gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen,
  • Brudd på personvernforordningen artikkel 33, for manglende melding til Datatilsynet om brudd på personopplysningssikkerheten.

NKOM har vedtatt gebyr på 1,5 millioner

Datatilsynet opprettet tilsynssak på bakgrunn av opplysninger om at Telenor avdekket et sikkerhetsbrudd i sin talepostkassefunksjon. Bruddet var omtalt gjennom flere nyhetsartikler på digi.no. Ifølge en artikkel publisert 29. november 2019, har det gjennom flere år vært mulig å hacke mobilsvar gjennom «spoofingtjenester» og avlytte meldingene til mobilabonnenter i Norge. Les hele artikkelen på digi.no

Nasjonal kommunikasjonsmyndighet (NKOM) har tidligere fattet vedtak om overtredelsesgebyr på 1.5 millioner for brudd på ekomloven, for samme forhold som Datatilsynet har vurdert. For å forhindre at Telenor Norge AS blir straffet to ganger for samme overtredelse, varsler vi irettesettelse. En irettesettelse kan kombineres med overtredelsesgebyr etter vårt regelverk.

Skulle ha meldt om bruddet

- Vi varsler også irettesettelse for manglende avviksmelding til Datatilsynet. Vi mener at Telenor Norge AS skulle ha meldt sikkerhetsbruddet til oss så snart de ble kjent med sårbarheten, sier Ylva Marrable.

Hjemmelen for å utstede irettesettelse er personvernforordningen artikkel 58 nr. 2 bokstav b. Valget om irettesettelse fremfor overtredelsesgebyr ble vurdert ut i fra omstendighetene i saken.

11