Datatilsynet har bötfällt Stortingets förvaltning med 2 miljoner norska kronor för överträdelse av artikel 32 i dataskyddsförordningen (GDPR) för att inte ha genomfört lämpliga tekniska och organisatoriska åtgärder för att uppnå en tillräcklig säkerhetsnivå vid behandling av personuppgifter.
Av beslutet framgår att Stortinget den 2 september 2020 informerats om att de varit utsatta för ett dataintrång (otillåten inloggning) kopplade till e-postkonton för ett okänt antal riksdagsrepresentanter och anställda. Det var en av de anställda som informerade förvaltningen efter att vederbörande blivit kontaktad av sin bank på grund av ett misstänkt bedrägeriförsök av personens betalkort. Efterföljande undersökningar visade att angripare laddat ner olika mängder data och det dessa uppgifter riskerade att innehålla personuppgifter som kunde kopplas till den anställdes e-postkonto. Enligt Stortinget handlade det om omfattade bank- och kontouppgifter, inklusive personuppgifter om tredje part, födelsenummer och hälsouppgifter. Stortingets förvaltning fick senare kännedom om att personuppgifter från 13 e-postkonton riskerat att gå förlorade.
Till följd av händelsen genomförde Stortinget ett antal riskreducerande och förebyggande åtgärder. Bland annat införde Stortinget nya lösenordskrav, omfattningen av säkerhetsloggningen utökades och riktlinjer för mobila enheter uppdaterades. Stortinget inledde också arbetet med att införa tvåfaktorsautentisering. Därutöver genomfördes utbildningsåtgärder av anställda för att öka medvetenheten om informationssäkerhet.
Enligt Datatilsynet kräver artikel 32 GDPR att den personuppgiftsansvarige upprättar en säkerhetsnivå som är lämplig för att säkerställa varaktig sekretess, integritet , tillgänglighet och robusthet i behandlingssystemen och tjänsterna. Stortinget är en av samhällets viktigaste institutioner, varför det enligt Datatilsynet är viktigt att uppgifterna om de förtroendevalda och de anställda på Stortinget behandlas på ett säkert sätt.
Resultatet av det inträffade är enligt Datatilsynet att Stortingets förvaltning och företrädarna tappat kontrollen över de personuppgifter som funnits på deras e-postkonton. Detta kan enligt myndigheten leda till konsekvenser för dem som drabbats som exempelvis missbruk av identitet, missbruk av betalkort och användning av information för utpressning. Om Stortinget implementerat tvåfaktorsautentisering i ett tidigare skede hade chansen för en lyckad attack enligt Datatilsynet varit betydligt mindre. Mot denna bakgrund beslutar Datatilsynet att Stortinget ska bötfällas med 2 miljoner norska kronor för överträdelse av artikel 32 GDPR.
I skrivelsen om sanktionsavgifter får Stortinget tre veckor på sig att återkoppla med sina synpunkter i ärendet. Datatilsynet kommer därefter bedöma återkopplingen och fatta ett slutgiltigt beslut.