Varsel om irettesettelse mot Telenor Norge AS
Vi varsler vedtak om irettesettelse mot Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.
Vi varsler vedtak om irettesettelse mot Telenor Norge AS for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding til Datatilsynet.
Det har gjennom flere år vært mulig å hacke mobilsvar gjennom «spoofing-tjenester» og avlytte meldingene til omlag 1,3 millioner mobilabonnenter i Norge.
- Vi mener at Telenor Norge AS ikke har iverksatt tilstrekkelige sikkerhetstiltak for å verne personopplysningene som formidles gjennom talepostkassefunksjonen, sier seksjonssjef Ylva Marrable i Datatilsynet.
Oppdatert: Høsten 2020 ble det vedtatt å gi Telenor irettesettelse.
Dette er et forhåndsvarsel etter forvaltningsloven om at Datatilsynet fatter vedtak om irettesettelse mot Telenor Norge AS for:
Datatilsynet opprettet tilsynssak på bakgrunn av opplysninger om at Telenor avdekket et sikkerhetsbrudd i sin talepostkassefunksjon. Bruddet var omtalt gjennom flere nyhetsartikler på digi.no. Ifølge en artikkel publisert 29. november 2019, har det gjennom flere år vært mulig å hacke mobilsvar gjennom «spoofingtjenester» og avlytte meldingene til mobilabonnenter i Norge. Les hele artikkelen på digi.no
Nasjonal kommunikasjonsmyndighet (NKOM) har tidligere fattet vedtak om overtredelsesgebyr på 1.5 millioner for brudd på ekomloven, for samme forhold som Datatilsynet har vurdert. For å forhindre at Telenor Norge AS blir straffet to ganger for samme overtredelse, varsler vi irettesettelse. En irettesettelse kan kombineres med overtredelsesgebyr etter vårt regelverk.
- Vi varsler også irettesettelse for manglende avviksmelding til Datatilsynet. Vi mener at Telenor Norge AS skulle ha meldt sikkerhetsbruddet til oss så snart de ble kjent med sårbarheten, sier Ylva Marrable.
Hjemmelen for å utstede irettesettelse er personvernforordningen artikkel 58 nr. 2 bokstav b. Valget om irettesettelse fremfor overtredelsesgebyr ble vurdert ut i fra omstendighetene i saken.