Til hovedinnhold

En million bankkunder solgt på Ebay

Andrew Chapman jobber som IT-sjef ved et britisk selskap. Han var godt fornøyd etter at han kjøpte seg en maskin på Ebay for 345 kroner. Da han fikk maskinen visste han ikke om han skulle le eller gråte.
Informasjon om en million bankkunder
På maskinens harddisk lå det nemlig lagret personlig informasjon om en million kunder i bankene Royal Bank of Scotland, NatWest og American Express. Informasjonen inneholdt telefonnumre, adresser, bankkontonummer, kortnumre, mødres fødselsnavn og digitale kopier av kundenes signaturer. For personer med uærlige hensikter ville dette vært en gullgruve. Chapman selv var derimot ikke imponert.
- Jeg kunne ikke tro det. Foran meg var det mengder med ekstrem konfidensiell informasjon på tusenvis av mennesker, sier han, ifølge Daily Telegraph.


På britiske Ebay finnes det over 7000 bærbare til salgs. Flere av disse kan ha sensitiv informasjon på disken.
Maskinen med det konfidensielle innholdet ble ifølge avisen solgt av en tidligere ansatt ved arkivfirmaet Graphic Data. Royal Bank of Scotland er ikke fornøyd med at deres kundeinformasjon har blitt solgt for en billig penge og de vil starte en etterforskning for å se hvordan opplysningene kunne komme på avveie på denne måten.
Flere hendelser
Storbritannia har de siste dagene opplevd en rekke hendelser som setter fokus på dårlig sikring av persondata. For kort tid siden kom en minnepinne med opplysninger om 127.000 personer i det britiske kriminalregisteret på avveie. Minnepinnen har enda ikke blitt funnet. Det hjelper heller ikke at en annen maskin med opplysninger om skattebetalere i distriktet Charnwood i Leichester, England ble solgt for 68 kroner på Ebay.
Det britiske personvernstilsynet er svært kritiske til hendelsene og vil undersøke hva som har hendt.
Dårlig sikring mot lignende i Norge
Ifølge Datatilsynet er det ingen grunn til å tro at Norge er bedre på sikringen av dine personopplysninger. De frykter at lignende lekkasjer allerede kan ha skjedd.
- Vi kan på ingen måte være sikre på at slikt ikke vil skje her i landet. Trolig er det snakk om store mørketall hvor bedrifter enten ikke selv vet at personopplysninger har kommet på avveie, eller velger å skjule dette i frykt for skade på omdømmet, forklarer informasjonsdirektør Ove Skåra i Datatilsynet til Teknofil.
Han tror mange bedrifter er mer opptatt av å ivareta sitt eget omdømme og å unngå negative medieoppslag enn å rapportere om slike tilfeller.
- Slike hendelser kan være fryktelig ubehagelige, men de har plikt til å melde ifra til oss når slikt skjer. For oss er det avgjørende at de sier ifra, og de vil bli anmeldt om de ikke gjør dette, sier Skåra.

Informasjonssjef i Datatilsynet, Ove Skåra, mener norske bedrifter må bli langt bedre på sikringen av personopplysninger enn de er idag.
Etterlyser sanksjonsmuligheter
Ifølge han viser Datatilsynets gjennomgang at mange norske bedrifter er lite nøye på sikkerheten når det gjelder kundenes personvern, det kan virke som om de mener dette er et område som krever unødvendig mye resurser. Men skaden en slik lekkasje kan gjøre mot enkeltpersoner kan bli langt verre.
- I prinsippet kan enkeltpersoner i dag gå til erstatningskrav ved slike hendelser om det viser seg at bedriften ikke har tilstrekkelig sikring på plass. I realiteten er det få som benytter seg av dette da det krever store resurser å gå inn i en slik sak. Datatilsynet ønsker derfor mulighet til å gå inn med umiddelbare sanksjoner i tilfeller hvor det viser seg at bedrifter mangler internkontroll, opplyser Skåra til slutt.
Datatilsynet har utarbeidet retningslinjer for systemer for internkontroll. De håper fremover å få markedsført disse bedre slik at personvern både for kunder og ansatte vil komme høyere på agendaen for norske bedrifter.

Mer om
annonse