- Det kan sette barn i fare om dette kommer ut

Datatilsynet reagerer på dataglipp ved Oslo Taxi.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Dagbladet har avslørt hvordan sensitive data om flere tusen kunder av Oslo taxi i lang tid har ligget åpent og ubeskyttet på Internett.

- Opplysningene dere har vist meg har absolutt ikke noe på nett å gjøre. Dette er ting som skal holdes helt internt og som ikke noen andre uvedkommende skal få se, sier direktør Bjørn Erik Thon i Datatilsynet.

Ifølge daglig leder Bjørn Rebne i Oslo Taxi kan den søkbare databasen med 5958 kunder ha ligget åpen på en nettadresse tilhørende selskapet i cirka et år.

- Barn i fare I basen finnes detaljert informasjon om skolekjøring, TT-kjøring, fastkjøring og såkalt sosial kjøring.

Det reagerer Datatilsynet sterkt på. I hånda holder direktør Bjørn Erik Thon i Datatilsynet et kort fra taxibasen Dagbladet fant på nett.

- Det jeg ser her er en utskrift fra en såkalt sosialkjøring, en kjøring for barneverntjensten på Stovner, med detaljerte opplysninger om denne jenta. Det er svært alvorlig. Dette skal egentlig være skjermet for alt innsyn. Nettopp fordi det kan være barn som er plassert av en helt spesiell grunn og som foreldrene kanskje ikke skal se. Dette kan i verste fall sette disse barna i fare om det kommer ut, sier Thon.

Konfidensielt Dagbladet har vist ham et intervju med synshemmede Synnøve Margrethe Nordeng. Hun er opprørt på egne vegne, men også på vegne av de mange i databasen som ikke har ressurser til å ta til motmæle.

- Det her skal jo ikke ligge ute på nett. Synnøve her har jo en grunn til å ha TT-kjøring, og det har ingen noe med. Her står det jo taxikortnummeret hennes, fullt navn, adresse og hvor hun hentes. Dette skal ikke ligge ute, sier Thon.

Oslo Taxi opplyser til Dagbladet at de nå har sendt inn en avviksmelding om dataglippen til Datatilsynet. Dagbladet har bedt om å få se den.

- Dette er mellom oss og Datatilsynet, sier daglig leder Bjørn Rebne i Oslo Taxi i en e-post til Dagbladet.

Trolig lovbrudd Ifølge Thon har Oslo Taxi trolig brutt personopplysningsloven:

- Det er helt klare regler i personopplysningsloven. De reglene tror jeg vi mer eller mindre klart kan si at er blitt brutt her, fordi dette er opplysninger som ikke skal ut, sier Thon.

Han henviser igjen til Synnøve og opplysningene i databasen om hennes TT-kjøring:

- BRØT TROLIG LOVEN: Ifølge direktør Bjørn Erik Thon i Datatilsynet brøt Oslo Taxi trolig personopplysningsloven. Foto: Øistein Norum Monsen/Dagbladet
- BRØT TROLIG LOVEN: Ifølge direktør Bjørn Erik Thon i Datatilsynet brøt Oslo Taxi trolig personopplysningsloven. Foto: Øistein Norum Monsen/Dagbladet Vis mer

- Synnøve er navngitt, det står hvor hun bor, at hun har TT-kjøring. Det står også at hun har en førerhund og dermed kan vi slutte at hun er synshemmet eller kanskje blind. Og det er opplysninger som i tillegg handler om helseforhold, som er sensitive opplysninger. Det er klart de her har brutt konfidensialiteten som Synnøve og alle andre har krav på, sier Thon.

Avventer reaksjon - Opplysningene dere har vist meg har absolutt ikke noe på nett å gjøre. Dette er ting som skal holdes helt internt og som ikke noen andre uvedkommende skal få se, konkluderer Thon.

Han ønsker ikke å forskuttere eventuelle reaksjoner mot Oslo Taxi, men vil nå se nærmere på avviksmeldingen han regner med kommer fra Oslo Taxi.

- Vi beklager Oslo Taxi ønsker å bli sitert på følgende:

- Vi setter stor pris på at Dagbladet gjorde oss oppmerksomme på sikkerhetshullet. Oslo Taxi beklager på det sterkeste at denne informasjonen lå tilgjengelig for uvedkommende. Dette er et alvorlig sikkerhetsbrudd, og det skal ikke forekomme. Tilgangen til tjenestene ble selvsagt umiddelbart stengt da vi ble gjort kjent med feilen, og opplysningene har siden ikke vært tilgjengelig for uvedkommende, skriver daglig leder Bjørn Rebne i en e-post.

Av tiltak nevner han:

- Foruten å utbedre det aktuelle avviket, har vår IT-avdeling hatt en gjennomgang av bedriftens datasikkerhet, og vil fortsette dette arbeidet. Det kan nevnes at vi allerede i midten av oktober inngikk avtale med en ekstern leverandør av datasikkerhet om en gjennomgang av våre systemer på årlig basis. Denne gjennomgangen er ennå ikke gjennomført for 2013, men ville nok ha avdekket avviket, hvis ikke Dagbladet hadde gjort oss kjent med det, hevder Rebne.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer