Delte 539 ansattes uførestatus og lønnsinfo på nett

Strømnettselskapet Tensio delte personopplysninger om alle ansatte, som ble liggende offentlig på internett i over to måneder.

Strømnettselskapet Tensio bekrefter at de fredag oppdaget hendelsen. Foto: Gisle Oddstad / VG / NTB

Siden 13. august har personopplysningene ligget tilgjengelig på et eksternt nettsted. Først fredag forrige uke ble lekkasjen oppdaget.

Det bekrefter IT-sjef, Ståle Gullbrekken, i Tensio ovenfor E24.

Personopplysningene, som ble delt ved en feil, inkluderer blant annet: Fødselsnummer, e-postadresser, hjemmeadresser, lønnsinformasjon og mobilnummer, ifølge Gullbrekken.

IT-sjef, Ståle Gullbrekken, i Tensio. Foto: Tensio

– Vi har informasjon om at det også ble delt opplysninger om sykdom/uførestatus. Stemmer det?

– Det er korrekt at det i de tre dokumentene var en kolonne som hadde overskriften «sykdom/uførestatus», skriver han.

Kolonnen avdekker om en person har en uførestatus eller ikke. Gullbrekken understreker at lekkasjen ikke inneholdt informasjon om sykdomshistorikk eller sykdommer.

Tensio er Norges nest største strømnettselskap og holder til i Trøndelag. Selskapet har ansvaret for strømforsyningen til Trøndelag. Alle de 539 ansatte i selskapet er rammet av hendelsen.

Tiltak iverksatt umiddelbart

– Umiddelbart etter hendelsen ble avdekket, ble tiltak i henhold til gjeldende forskrifter iverksatt, og tiltak for å få informasjonen fjernet ble gjennomført. Datatilsynet ble i tillegg umiddelbart varslet, og har vært oppdatert underveis siden hendelsen ble avdekket, skriver Gullbrekken.

Han forklarer at dokumentene ble delt ved en feil.

– Hendelsen oppsto som følge av en feil gjort i en intern arbeidsprosess i samarbeid med en av våre partnere. I forbindelse med dette arbeidet er det lastet opp dokumenter som ikke skulle vært lastet opp på den aktuelle nettsiden, skriver Gullbrekken.

Opplysningene ble delt på et nettsted som brukes i forbindelse med anbudsprosesser. Delingen skjedde i forbindelse med en anbudsprosess knyttet til pensjon, opplyser selskapet.

– Viktig at det ikke skjer igjen

Kommunikasjonsdirektør i Datatilsynet Janne Stang Dahl bekrefter ovenfor E24 at de har fått inn en avviksmelding om saken.

– Det står i avviksmeldingen at det er menneskelig svikt. Det er en ganske vanlig årsak. Det vi er opptatt av, er at så fort det oppdages så må det lukkes og settes inn tiltak, sier hun.

– Det som er viktig er at det ikke skjer igjen, sier Stang Dahl.

Avviser datainnbrudd

Gullbrekken i Tensio påpeker at det ikke er snakk om et datainnbrudd.

– Det er viktig å understreke at denne hendelsen ikke har skjedd som følge av et datainnbrudd eller en ondsinnet handling av noe slag. Og det er videre viktig å understreke at det kun er informasjon om ansatte i Tensio som har vært del av denne datalekkasjen, skriver han.

Han opplyser at selskapet har informert alle ansatte om hendelsen, og at det er iverksatt tiltak for å ivareta de ansatte. Selskapet skal nå gjennomgå sine interne rutiner.

– Som følge av hendelsen vil Tensio sette i gang et oppfølgende arbeid for å sikre læring for å unngå slike og lignende hendelser i fremtiden.

– Tensio vil også dele informasjon om denne læringen med samarbeidspartnere og andre for å bidra til økt innsikt om hvordan slike hendelser kan forebygges og håndteres best mulig, skriver Gullbrekken.