Opplysninger om mer enn 500 bompengekunder på avveie

– Vi tar dette veldig alvorlig, sier Ola Johannes Jordal, kvalitetsdirektør i det regionale bompengeselskapet Ferde AS.

Personopplysninger om hundrevis av bompengekunder i Ferde kom 27. august på avveie. Da kundebehandlerne skulle svare kunder som hadde henvendt seg til dem, fulgte ikke bare en elektronisk melding til hver enkelt – men også hele loggen av data fra 528 bompengekunder som hadde vært i kontakt med kundesenteret i perioden fredag 24. august til mandag 27. august.

Til sammen 30 kunder ble ufrivillig mottakere av de feilsendte personopplysningene. I de fleste tilfellene innebærer informasjonen kundenavn og e-post. 125 av opplysningene er imidlertid av langt mer sensitiv karakter.
LES OGSÅ: Nok er nok-Sjursen blir Frp-politiker

Skilsmisse og inkasso

Ferde har tatt en gjennomgang av loggen for den aktuelle perioden, og har registrert at følgende opplysninger kom på avveie 27. august:

* Ett personnummer.

* 96 bankkontonummer.

* I 11 saker er inkassovarsel nevnt.

* 17 andre saker inneholder opplysninger av typen handikapkort, skilsmisse og bompasseringsstid- og sted.

Det går fram av en avviksmelding fra Ferde til Datatilsynet i september.

Kunder i alle eierfylkene av Ferde AS er berørt, det vil si Rogaland, Sogn og Fjordane, Hordaland, Vest-Agder og Aust-Agder.
LES OGSÅ: – Bompengegruppen risikerer å ende opp som en tom protest RA(+)

– Vårt ansvar

I Ferde forklarer de svikten med en teknisk programmeringsfeil i kundehåndteringssystemet deres. De ser også på det som en følgefeil av en hendelse som selskapet ble kjent med 27. august. Denne dagen ble Ferde gjort oppmerksomme på at 528 kunder dager før hadde blitt tildelt samme saksnummer i mailkorrespondanse med kundesenteret deres. Dette ble raskt rettet opp i, og kundene fikk nye saksnumre.

Samme dag, uten at Ferde den gang visste om det, ble altså personopplysninger om 30 kunder feilaktig tilsendt personopplysninger om andre kunder.

– Vi har i ettertid raskt opplyst alle berørte kunder om hva som har skjedd, og blant annet bedt de 30 mottakerne av personopplysningene om å slette dem. Vi beklager at feil har skjedd. Dette er helt og fullt vårt ansvar, og vi ser veldig alvorlig på hendelsen, sier kvalitetsdirektør Ola Johannes Jordal i Ferde.

Han understreker at det ikke er data fra systemet deres som er lekket.

– Dette er kun opplysninger som kunder selv har oppgitt til kundesenteret på e-post eller muntlig i løpet av fire dager i august, sier han.
LES OGSÅ: Ber om bomfritak for hele menigheten (RA+)

Forbedringer

– Hvordan har dere tenkt å unngå lignende situasjoner igjen?

–Vi har gjort en rekke forbedringer i systemet etter at forholdet ble avdekket. Blant annet har vi lagt inn kontroller i systemet som gjør at utgående mail kun blir sendt til den vi har fått mail fra. I tillegg jobber vi nå med å få på plass kryptering av data i kundehåndteringssenteret vårt slik at dette ikke skjer igjen, sier Jordal som opplyser at det ikke er aktuelt å bytte ut leverandøren, men legger til at Ferde alltid ser etter gode og sikre teknologiske løsninger.

– Således er også systemløsninger noe vi kontinuerlig søker etter for å sikre effektive og gode løsninger til beste for våre kunder.

LES OGSÅ: Eiendomsmeglere frister kjøpere med avstand til bommen (RA+)

Vil ikke ta stilling

I Datatilsynet har de foreløpig ikke behandlet avviksmeldingen fra Ferde, og direktør Bjørn Erik Thon opplyser at han derfor ikke vil ta stilling i saken.

– Men rent prinsipielt er det slik at når vi vurderer alvorlighetsgraden i saker, så ser vi selvfølgelig på hvor stort avviket er. Det innebærer hvor mange kunder, pasienter eller andre som er berørt, sier Thon til RA.

Hva slags type opplysninger som er kommet på avveie, har også betydning for hvor alvorlig Datatilsynet vurderer saker.

– Jo mer sensitive opplysningene er, jo større er potensialet for at de kan misbrukes av andre. Kontonummer og inkassovarsel er helt klart opplysninger man skal være varsomme med at ikke kommer på avveie, uten at jeg dermed ønsker å si noe om alvoret i denne konkrete saken, sier han.
LES OGSÅ: «Luksusfellen»-Hallgeirs bomringråd (RA+)

Denne saken ble først publisert på Dagsavisen/Rogalands Avis.