Vil anmelde teleoperatører

Vil anmelde teleoperatører

Flere teleoperatører skal ha brutt personopplysningsloven, men Datatilsynet sliter med å påvise grov uaktsomhet.

I sommer ble flere teleoperatørers nettsider utnyttet, og fødselsnummer, navn, adresser og kredittinformasjon kom på avveie. Til sammen ble over 100.000 personer rammet av identitetstyveri fra aktører som Tele2, Combitel og Telenordic.

Datatilsynet har siden midten av august jobbet med saken, og innstillingen til ledelsen var å straffeforfølge enkelte teleoperatører. For rundt tre uker siden bestemte tilsynsledelsen, med direktør Georg Apenes i spissen, at Datatilsynet skal anmelde saken, gitt at de klarer å bevise grov uaktsomhet. Det krevde nok en juridisk vurdering. Der er saken nå stagnert.

- Ja, det er det dessverre blitt slik. Vi ønsker å forfølge denne saken, men det er svært krevende å påvise grov uaktsomhet. Derfor trenger vi å gå grundig gjennom saken før vi anmelder, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet til Computerworld.

Brutt varslingsplikten

Ifølge Aanensen er det flere brudd i personopplysningsloven som Datatilsynet nå ser på. Han ønsker ikke å gå ut med hvilke bedrifter som risikerer å bli anmeldt, men sier at det først og fremst dreier seg om de bedriftene som ikke har gitt beskjed om misbruket, verken til tilsynet eller til de personene som er rammet. Som Computerworld tidligere har skrevet, gjelder dette Combitel og Telenordic.

Datatilsynet mener det påhviler virksomheten en plikt å informere de rammede personene etter paragraf 20 i personopplysningsloven, noe Combitel ikke gjorde.

LES OGSÅ: Flere fødselsnummer stjålet

I personopplysningsforskriftens punkt 2.6 om informasjonssikkerhet heter det:
Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles”.

Telenordic informerte ikke Datatilsynet om misbruket, og tilsynet tok selv kontakt med bedriften etter Computerworlds avsløringer.

LES OGSÅ: Også Telenordic rammet av id-tyveri

I tillegg vurderes flere selskaper i forhold til lovens paragraf 13 om informasjonssikkerhet.

Avviser brudd

Telenordic avviser at de ikke har informert Datatilsynet om misbruket. Daglig leder Pål Barth Nilsen sier han selv henvendte seg til tilsynet.

- Vi har ikke informert dem skriftlig, men gjorde det muntlig. Dette ble gjort over telefon i august, og vi fortalte om hva som hadde skjedd, sier Nilsen til Computerworld.

Ønsker gebyrmulighet

- Som forvaltningsorgan stilles det strengere krav til Datatilsynet når det gjelder anmeldelse, enn hva som gjelder for en privatperson. Derfor hadde det vært bra om vi kunne utstede et overtredelsesgebyr. Det stiller kun krav om uaktsomhet, ikke grov uaktsomhet, sier Aanensen.

En lovendring i personopplysningsloven kreves for at Datatilsynet skal få mulighet til å gi overtredelsesgebyr. Dette jobber nå Justisdepartementet med å få på plass, men Aanensen vil ikke spekulere i når dette kan stå klart. Han er imidleertid klar på at det er en ordning som hadde gjort tilsynets arbeid betydelig lettere.

Det lyktes ikke Computerworld å få tak i Combitel da saken ble skrevet.

LES OGSÅ: 60.000 personnumre på avveie

Les om:

Sikkerhet