Datatilsynet har utfärdat en reprimand mot Telenor Norge AS för bristande säkerhetsåtgärder i röstbrevlådefunktionen och för att företaget inte anmält inträffad personuppgiftsincident till Datatilsynet så snart de blivit medvetna händelsen.
Av Datatilsynets pressmeddelande framgår att ett säkerhetsfel gjort det möjligt för obehöriga att få tillgång till cirka 1,3 miljoner kunders röstbrevlåda genom att använda så kallade “falska tjänster”. Olaglig hackning av röstbrevlådor med “spoofing-tjänster” har varit ett känt problem i ett antal år. Enligt Datatilsynets bedömning har Telenor inte vidtagit tillräckliga säkerhetsåtgärder, då företaget borde ha avslöjat sårbarheten i röstbrevlådefunktionen i ett tidigare skede.
Datatilsynet skickade ett meddelande till Telenor tidigare i år (läs mer om detta här), men enligt myndigheten har Telenor inte vidtagit några åtgärder för att komma tillrätta med sårbarheten sedan dess.
Meddelanden i en röstbrevlåda kan enligt Datatilsynet innehålla mycket olika information och detta innehåll har till stor del legat utanför Telenors kontroll. Detta är faktorer som tyder på att Telenors säkerhetsåtgärder inte varit tillräckliga. Enligt Datatilsynet borde Telenor ha anmält personuppgiftsincidenten till myndigheten så snart de blivit medvetna om sårbarheten.
Nasjonal kommunikasjonsmyndigheit (Nkom) har tidigare beslutat om en sanktionsavgift på 1,5 miljoner norska kronor för överträdelser av lagen om elektronisk kommunikation. Ärendet gällde samma omständigheter som Datatilsynet nu har bedömt. För att förhindra att Telenor straffas två gånger för samma överträdelse valde Datatilsynet att istället utfärda en reprimand mot företaget. En reprimand kan ses som en slags tillrättavisning och är en mildare sanktion än förelägganden och sanktionsavgifter.
I det här fallet anser Datatilsynet att följande bestämmelser i dataskyddsförordningen (“GDPR”) har överträtts:
- Brott mot artikel 32.1 i GDPR genom att inga lämpliga tekniska och organisatoriska åtgärder har vidtagits för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken.
- Överträdelse av artikel 33 i GDPR, för underlåtenhet att underrätta Datatilsynet om inträffad personuppgiftsincident.