SVIKT: Administrerende direktør i Telenor Norge Berit Svendsen og Telenorsjef Sigve Brekke er blant de 5.300 som er berørt. Foto: Terje Bendiksby / NTB scanpix
Svikt i Telenor: Sensitive personopplysninger om ansatte lå åpent
Telenor legger seg langflate etter at sensitive personopplysninger om 5.300 ansatte i norske Telenor-selskaper i over 16 måneder potensielt har ligget åpent i en database samtlige har innsyn i.
Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon
Artikkelen fortsetter under annonsen
– Det er bare å beklage, sier pressekontakt Atle Lessum i Telenor til ABC Nyheter.
Svikten ble oppdaget av en ansatt ved en tilfeldighet: Vedkommende var inne i systemet, og fikk plutselig sensitiv informasjon om en annen ansatt – og varslet.
Onsdag formiddag sendte Telenor ut en e-post til de berørte der de informerte om det de kaller «et potensielt avvik fra personvernreglene i forbindelse med lagring av saksinformasjon på SharePoint.»
Hendelsen er også rapportert inn til Datatilsynet.
Svikten ble oppdaget 8. mars.
«Dette er et avvik fra gjeldende bestemmelser om innsyn i ansattes personlige opplysninger, og GSS stengte umiddelbart adgangen til gjeldende SharePoint-side med virkning fra 08.03.2017. Informasjonen har vært tilgjengelig siden desember 2015.», skriver sikkerhetsdirektør Espen Haagenrud i Telenor Global Shared Services (GSS) i e-posten.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenLes også: 36.000 Telenor-ansatte skal drilles i anti-korrupsjon
Sykemeldinger
– Dette berører cirka 5.300 ansatte i Telenorselskaper i Norge. Det dreier seg om vårt interne system som ansatte bruker til ganske mye forskjellig: Bestille ny PC, melde feil og rapporter inn sykemeldinger. Det er sistnevnte som gjør at dette blir en veldig beklagelig sak, sier Lessum.
Telenor benytter Microsoftutviklede SharePoint i sitt interne HR-system. Det er her man melder feil og sykefravær.
– Dette er standardiserte skjemaer man bruker fra HR Support. I skjemaet er det et såkalt frifelt der man kan legge inn informasjon. Det er dette feltet som har vært åpent for alle ansatte i Telenorselskaper i Norge, utdyper Lessum.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenDe berørte er de Telenorselskapene som har ansatte i Norge:
Telenor Norge, Telenor ASA, Canal Digital, Canal Norge, Norkring, Telenor Svalbard og ABC Startsiden – som nylig ble solgt fra Telenor til Hegnar Media.
Artikkelen fortsetter under annonsenLes også: Telenor advarer mot falsk epostfaktura
Umulig å spore
Telenor forsøker å få oversikt over omfanget av hendelsen, men opplyser at fordi det ikke er mulig å spore aktivitet i SharePoint, kan de heller ikke angi omfanget.
– Vårt råd er: Dersom du har lagt inn informasjon i frifeltet, ta kontakt. Vi kan se om sensitiv informasjon kan ha vært tilgjengelig for andre. Men vi kan ikke se om noen har sett på den, sier Lessum.
Han sier Telenor tar det hele og fulle ansvaret, og understreker at leverandører er uskyldige:
– Vi skal ikke skyte på noen andre. Det er vi som har satt opp løsningen med et sikkerhetshull.
– Leter man etter syndebukker?
– Nei, det gir ingen mening.
