REAGERER: Direktør Bjørn Erik Thon i Datatilsynet påpeker at det er klare regler for at arbeidsgivere skal sikre at data om ansatte ikke kommer på avveie. Han mener Dagbladets avsløringer er svært alvorlige. Foto: Øistein Norum Monsen/Dagbladet.
REAGERER: Direktør Bjørn Erik Thon i Datatilsynet påpeker at det er klare regler for at arbeidsgivere skal sikre at data om ansatte ikke kommer på avveie. Han mener Dagbladets avsløringer er svært alvorlige. Foto: Øistein Norum Monsen/Dagbladet.Vis mer

- Dette har ikke noe i offentligheten å gjøre

NAV-dokumenter, sykemeldinger og andre intime opplysninger om arbeidstakere flyter på internett.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Intime og personlige opplysninger er ikke nødvendigvis så trygge hos sjefen som du kanskje trodde.

I forbindelse med artikkelserien «Null CTRL» har Dagbladet funnet flere tusen åpne databaser og servere på nettet i Norge, mange tilhørende større og mindre norske selskaper.

Brannberedskapen for 39 av 44 kommuner i Nordland, detaljerte dokumenter om norsk oljebransje, informasjon om barn på hemmelig adresse, sensitive kundedata og dokumenter om Ørland flystasjon er bare noe av det som har ligget ubeskyttet på Internett.

NAV-dokumenter Men også sensitiv informasjon om ansatte blir lagt i åpne servere og databaser på nettet.

Dagbladet har kommet over alt fra sykemeldinger og NAV-dokumenter til medarbeidersamtaler og lønnsdata, lagret ubeskyttet av sjefen - tilsynelatende helt uforvarende.

- Veldig mye av det du nevner dere har funnet, er enten personlig eller sensitiv informasjon. Det er klare regler for at arbeidsgiver har et ansvar for å sikre at dette ikke kommer på avveie, sier direktør Bjørn Erik Thon i Datatilsynet.

- Veldig alvorlig - Dette har ikke noe i offentligheten å gjøre. Dette er strengt interne ting, som ikke engang alle på arbeidsplassen skal se. Det er veldig alvorlig det dere har avdekket, sier han videre.

OLJEDOKUMENTER: Dagbladet har bant annet funnet fem åpne og søkbare servere med detaljerte, tekniske dokumenter om norsk oljebransje i forbindelse med artikkelserien «Null CTRL». Arkivfoto: Eirik Helland Urke / Dagbladet
OLJEDOKUMENTER: Dagbladet har bant annet funnet fem åpne og søkbare servere med detaljerte, tekniske dokumenter om norsk oljebransje i forbindelse med artikkelserien «Null CTRL». Arkivfoto: Eirik Helland Urke / Dagbladet Vis mer

- Hva kan gjøres for å bedre situasjonen?

Artikkelen fortsetter under annonsen

- Dette føyer seg jo inn i rekken av saker Dagbladet har avslørt, men det handler jo om å ha orden i eget hus. Dette betyr at alle må gå gjennom sårbarheten sin og rett og slett bruke litt tid og penger på dette. Det er helt klart et ansvar arbeidsgiver har, og det må inngå som en helt naturlig del av jobben.

- Helt krise Dagbladet omtalte i går selskapet Bergen Kuldeteknikk, som leverer kuldeprodukter og kuldetjenester til bedrifter i og rundt Bergen og i Nordsjøen. De trodde de måtte taste brukernavn og passord for å få tilgang til sin bedriftsserver. I virkeligheten lå den ute på en egen side på Internett, åpen og søkbar for absolutt alle.

På serveren fantes blant annet ansattes skattekort med personnummer og andre personlige opplysninger.

- Dette ligger jo helt åpent. Det er jo krise, sa daglig leder Christer Stålheim etter at Dagbladet hadde vist ham lenken med alt innholdet.

Noen av dokumentene deres, deriblant de ferskeste skattekortene, lå imidlertid på en egen server.

- Lett å gå i fella Bergen Kuldeteknikk brukte det eksterne selskapet Webhuset AS til å sette opp serveren. De mener kunden seinere har slått på web-serveren på maskinen sin og dermed gjort alle filene tilgjengelige over Internett.

USIKRET: Serveren til Bergen Kuldeteknikk lå åpent ut mot nettet, uten at de visste det selv. Her fantes blant annet ansattes personopplysninger. Foto: Benjamin A. Ward / Dagbladet
USIKRET: Serveren til Bergen Kuldeteknikk lå åpent ut mot nettet, uten at de visste det selv. Her fantes blant annet ansattes personopplysninger. Foto: Benjamin A. Ward / Dagbladet Vis mer

Ifølge Seniorrådgiver Vidar Sandland i Norsk Senter for Informasjonssikkerhet (Norsis), er det lett å tro at eksterne IT-leverandører er ansvarlige for sikkerheten, uavhengig av hva som er avtalen mellom partene.

- Det vi ofte ser, er at selskaper ofte ikke har den bestillerkompetanse de bør ha. De vet ikke alltid hva de trenger av sikkerhet og hvordan dette skal fungere, sier han.

ANSATTOPPLYSNINGER: Dette skjermbildet viser mapper med opplysninger for hver enkelt ansatt i en norsk bedrift.
ANSATTOPPLYSNINGER: Dette skjermbildet viser mapper med opplysninger for hver enkelt ansatt i en norsk bedrift. Vis mer