Sparebank 1 Nord-Norge sendte onsdag ut en epost til rundt 400 kunder banken ønsket å invitere på boligseminar.
På seminaret skulle kundene få møte både bankens "tv-kjendis", Magne Gundersen kjent fra Luksusfellen på TV3 og administrerende direktør i EiendomsMegler 1 Morten Tiedemann.
824 personnummer
Men det stod flere navn i eposten, som åpenbart ikke skulle vært med. I et vedlegg ble navnene på totalt 824 kunder som invitasjonen skulle gå ut til på epost og vanlig post ramset opp.
Kjekt å vite hvem andre man risikerer å møte på seminaret, kanskje. Men ikke fullt så kjekt: Sammen med navnene fulgte fullstendig oversikt over fødels- og personnummer, hvor stort banklån de har, mobiltelefonnummer og hvor de bor.
En av kundene som mottok eposten, fikk ikke med seg tabben, før banken selv gjorde henne oppmerksom på den.
- Jeg så eposten med invitasjonen da den kom og lukket den igjen. Men senere på dagen ringte en fra banken meg og sa at jeg ved en feiltagelse hadde fått en epost med sensitiv informasjon, som jeg derfor måtte slette, forteller kunden til DN.no.
Hun reagerer kraftig på at banken åpenbart ikke har bedre kontrollrutiner enn at en slik feil kunne skje.
- Hvis man jobber en plass med sensitiv informasjon kan man ikke samle det i et excel-dokument som ikke er kryptert, og sende det rundt internt, mener hun.
At banken, når ulykken er et faktum, ringer rundt og påpeker det sensitive innholdet i eposten, gjør ikke saken bedre synes hun.
- Damen i telefonen ba meg om å slette e-posten ulest, og avfeide meg da jeg poengterte at de vel gjorde lurest i å ikke gjøre oss alle oppmerksom på glippen. Men de hadde funnet ut at de måtte ringe oss som hadde fått den, fortelle at det sto noe hemmelig der og be oss om å slette dette, forteller kunden.
"Vet ikke om det fungerer?"
I Sparebank1 Nord-Norge beklager de tabben på det sterkeste.
- Det var ikke enn systemgenerert feil, men en menneskelig feil som ikke skal skje. Vi har nå gjort tiltak for at de ikke skal skje flere ganger, opplyser kommunikasjonsdirektør Stig Arne Engen til DN.no.
Foruten noen tiltak som de ikke vil opplyse om, har banken nå begrenset hvem som skal ha tilgang på den type regneark som ble sendt ut, samt en ekstra kvalitetssløyfe som gjør at det må to godkjennelser til fra forkjellige personer før en slik utsendelse kan bli sendt.
Eposten som i vanvare ble sendt ut til alle kundene avslørte også en korrespondanse mellom to ansatte i banken hvor det ble diskutert hvordan de skulle nå ut med informasjonen til kundene:
"Hvordan kan vi gjøre det mht utsendelse? Regner med der er ca 400 vi har mailadresse på, jf. vedlagte fil. De resterende får pr. post. Har bestilt dette via orakel, men vet ikke om det fungerer?" skriver en av de ansatte i banken i en epost til en kollega.
Det gikk ikke lang tid etter utsendelsen før banken selv skjønte at svaret på spørsmålet om det fungerer var et rungende nei.
- Vi fikk stoppet utsendelsen etter at det hadde gått ut 152 eposter. Da satte vi umiddelbart i gang arbeidet med å varsle kundene som ble berørt på telefon og epost, sier Engen.
Ingen garanti mot misbruk
Han bekrefter at det gikk ut sensitive personopplysninger som potensielt kan misbrukes, men understreker:
- Det er ikke snakk om kontonummer eller bankkortnummer.
- Hvilken avveining har dere gjort rundt hensynet til å informere kundene om feilen, kontra faren ved å gjøre potensielt uærlge personer oppmerksom på at de har fått tilsendt informasjon som kan misbrukes?
- Det er viktig for oss å sikre at dataene er slettet. Vi kan ikke velge å holde det skjult, selv om mange kunder da ikke ville lagt merke til informasjonen. Vi må være åpen på det.
- Men dere er prisgitt at kunden følger oppfordringen om å slette opplysningene snarere enn å misbruke dem?
- Vi kan ikke garantere noe, bare appellere til hver enkelt gjennom en sterk oppfordring til ikke å misbruke informasjonen, innrømmer Engen.
Sparebank1 kan søke enn slags trøst i at de ikke er alene om å ha sendt sensitiv informasjon til feile adresser.
Les også: E-post-tabbe røpet mulig Statoil-funn (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.