Overtredelsesgebyr til NAV, Stortinget og Trumf
Juni har vært en måned med overtredelsesgebyr i millionklassen til store aktører. Datatilsynet har skrevet ut bøter til blant annet NAV, Stortinget og Trumf.
Den 24. juni publiserte Datatilsynet på sine sider at de har fattet endelig vedtak om overtredelsesgebyr på fem millioner kroner til Trumf. Bakgrunn for gebyret er et sikkerhetshull hos Trumf som gjorde det mulig for Trumf-medlemmer å skaffe seg tilgang til andre medlemmers handlehistorikk som inneholdt informasjon om hva vedkommende handlet og hvor. Datatilsynet mener at Trumf ikke hadde sørget for tilstrekkelig sikkerhet for behandlingen av personopplysningene i dette tilfellet. De manglet en løsning for verifisering av identiteten til medlemmene, noe som førte til det sikkerhetshullet som resulterte i overtredelsesgebyret. Dette er, ifølge Datatilsynet et brudd på personopplysningssikkerheten. Trumf har nå tettet sikkerhetshullet.
En annen viktig avgjørelse gjelder overtredelsesgebyr til NAV på 5 millioner kroner. Vedtaket har sin bakgrunn i en funksjon på tjenesten arbeidsplassen.no som innebar tilgjengeliggjøring av arbeidssøkeres CV i løsningen, slik at blant annet arbeidsgivere hadde tilgang til å se disse. Datatilsynet konkluderte med at NAV ikke hadde rettslig grunnlag for denne publiseringen av CV-ene for brukere under oppfølging. Publisering av CV i løsningen har vært et vilkår for å anses som reelt arbeidssøkende, noe som har direkte betydning for å motta enkelte ytelser fra NAV. Selv om arbeidsformidling er en viktig samfunnsoppgave, må denne oppgaven utføres innenfor kravene i gjeldende lover og regler, noe Datatilsynet mener ikke ble gjort her. Datatilsynet har varslet om dette gebyret i mai tidligere i år, og siden bruddet ble oppdaget har NAV satt i gang tiltak og ryddet opp i saken i følge Datatilsynets konstituert direktør Janne Stang Dahl.
Mottakeren av juni-månedens siste overtredelsesgebyr ble Stortinget, som fikk et overtredelsesgebyr på to millioner kroner. Høsten 2020 ble Stortinget utsatt for et datainnbrudd knyttet til uautorisert pålogging til e-postkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen samt gruppesekretariatene. Datatilsynet har særlig lagt vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse, og vedtok et gebyr på to millioner kroner. I sine merknader til varsel om gebyret erkjente Stortingsadministrasjonen at IT-sikkerheten kunne vært bedre da angrepet inntraff. Samtidig pekte de på at bruddet og situasjonen rundt det må ses i lys av pandemien og nedstengningen. Siden det endelige vedtaket om overtredelsesgebyret har Stortingets administrasjonen godtatt gebyret. Som følge av bruddet og overtredelsesgebyret har også Stortingets direktør Marianne Andreassen gått av. Hun uttalte blant annet at hun ønsker å ta ansvar ved å si opp sin stilling.