Høsten 2020 ble Stortinget utsatt for et datainnbrudd. Inngrepet resulterte i innbrudd på e-postkontoer til enkelte stortingsrepresentanter og ansatte, og resultatet var at informasjon i disse e-postkontoene ble lastet ned av angriperne.
Datatilsynet mente at administrasjonen ikke hadde gjennomført egnede tekniske og organisatoriske sikkerhetstiltak for å forebygge en slik hendelse, og varslet et gebyr på 2 millioner kroner. Datatilsynet la særlig vekt på at det ikke var etablert tofaktorautentisering eller tilsvarende sikkerhetsnivå for å sikre et tilstrekkelig besjyttelsesnivå.
Stortinget har nylig svart på dette varselet. De innrømmer at sikkerheten kunne vært bedre da angrepet inntraff, men peker på en del omstendigheter som de mener Datatilsynet bør ta i betraktning. De nevner blant annet at det allerede forelå en ROS-analyse som avdekket mangler i sikkerheten, og administrasjonen jobbet med å få disse rettet. Problemet var at angrepet inntraff kun fire måneder etter rapporten, og koronapandemien gjorde det ekstra utfordrende å gjennomføre arbeidet. De peker også på at selv om angrepet var alvorlig, var det svært få personer som var rammet og at omfanget av personopplysninger som var utsatt for angrepet var begrenset.
Saken er nå hos Datatilsynet for en ny vurdering, de vil gå gjennom saken på ny og komme med et endelig vedtak.