Nylig oppdaget det Dagbladet-eide helsenettstedet Lommelegen at 10.161 leserbilder som skulle vært slettet for lengst, fortsatt lå på nett.

Og: Selv om de var bortgjemt, var de ikke beskyttet og i teorien åpent tilgjengelige for uvedkommende.

Bildene var sendt inn til nettstedets spørsmål- og svartjeneste, der leger og annet medisinsk personell svarte på lesernes helsespørsmål, og var ikke ment for offentligheten. Selv om innsenderne ble bedt om å unngå personlige detaljer i bildene, viser Dagbladets egen gjennomgåelse at inntil 500 av bildene kan identifisere innsenderen.

I tillegg er 1201 av helsebildene koblet til presise geografiske koordinater for hvor de er tatt, sammen med klokkeslett og dato.

Les også: Innlegg: Direktør dømt personlig ansvarlig for personvernbrudd

Finnes ikke logg

Da løsningen ble laget i 2017, skulle de bare lagres i 90 dager, men en feil i systemet gjorde at de ble liggende. Det ble oppdaget at bildene fortsatt eksisterte, og var ubeskyttede i våres.

En avviksmelding til Datatilsynet viser at det bare var å hente ut bildene for alle som hadde rett nettadresse (URL). Denne var imidlertid ikke tilgjengelig via de vanlige søkemotorene. Bildene lå lagret uavhengig av Lommelegen, og filnavnene avslørte ikke noe.

NRK omtalte saken først.

I korrespondansen med tilsynet, skriver Dagbladet at «med unntak av ren gjetting, var det kun ved å gjennom føre syv manuelle steg at noen kunne fått tilgang til bildene». Derfor mener avisen det er usannsynlig at noen har utnyttet sårbarheten.

«Disse stegene var ingen logisk fremgangsmåte som det kan antas at uvedkommende ville forsøkt, selv under forutsetning at de aktivt søkte etter sårbarheter hos Lommelegen.no».

Da tilsynet ble varslet i vår, utløste det krav om redegjørelse.

– Helseopplysninger er sensitive personopplysninger og noe av det mest private vi har, og skal alltid behandles med største forsvarlighet, skriver kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet i en epost til DN.

Les også: Redd for dataangrep? Ta forsvarskampen på hjemmebane

Dyrt overtredelsesgebyr

Saken er under behandling, og tilsynet regner med å ha vurderingen klar på nyåret.

– Slik det ser ut har helseopplysninger og andre personopplysninger vært lagret på nett uten god nok tilgangsstyring. Ifølge meldingen har sletterutiner heller ikke vært fulgt opp, og det ikke har vært noen form for loggføring av tilgang til mappen. Det er for tidlig å si noe om alvorlighetsgraden før vi har vurdert saken ferdig. Vi ser nærmere på hva som har skjedd, hvilke opplysninger som har vært tilgjengelig og hvem og hvor mange som har hatt tilgang til persondataene, skriver Dahl.

Saken kan omfattes av GDPR-regelverket. I sitt krav om redegjørelse, viser Datatilsynet til at det kan ilegge overtredelsesgebyr på inntil 20 millioner euro, eller fire prosent av årsomsetningen til et foretak.

Men Dagbladet mener at forholdet neppe er alvorlig nok til å utløse meldeplikt.

«Vi vil understreke at vi gjorde det for ordens skyld, selv om vi anså det som svært usannsynlig at forholdet ville medføre risiko for fysiske personers rettigheter og friheter,» heter det i svarbrevet.

Det er signert Dagbladets ansvarlige redaktør Alexandra Beverfjord og sjefen i Dagbladet-eier Aller Media, Dag Sørsdahl.

Aller Media var behandlingsansvarlig for Lommelegen-dataene frem til oktober 2019, da Dagbladet overtok.

Les også: Hackerne tar ikke juleferie

Ber om å ikke bli straffet

Brevet argumenterer videre for at det er svært usannsynlig at bildene er misbrukt.

«Om Datatilsynet likevel velger å ilegge overtredelsesgebyr på bakgrunn av melding om et forhold som neppe egentlig var meldepliktig, vil det kunne medføre en risiko for at andre behandlingsansvarlige fremover blir mindre transparente overfor Datatilsynet når sårbarheter avdekkes. Det vil være uheldig.»

DN har vært i kontakt med Alexandra Beverfjord, som henviser til Camilla Fuglem i Aller for svar. Hun har tittelen konserndirektør for tech og data.

DN har spurt hvor sikkert det er at ikke uvedkommende har fanget opp bildene på en eller annen måte.

– I en digital verden er det neppe mulig å gi garantier om at ingen har tilgang. Men det fremstår som svært usannsynlig at utenforstående skal ha hatt tilgang på materialet. Vi har heller ingen holdepunkter for at det har skjedd, svarer Fuglem på epost.

Les også: Sikkerhetsekspert mener hackere jobber stadig mer målrettet: – Kan for eksempel dukke opp på barnas fotballkamper og sende private e-poster dnPlus

Ba om hemmelighold

Tross advarselen til Datatilsynet, angrer de ikke på at de meldte inn saken, skriver hun:

Vis alle stillinger

– Nei, vi ønsker å være åpne og transparente med Datatilsynet og har som policy å heller melde en gang for mye enn for lite.

Dagbladet ba om at deres opprinnelige avviksmelding skulle unntas offentligheten, blant annet fordi oppmerksomhet kunne skape uro hos dem som hadde sendt inn bilder.

«En uro som mest sannsynlig er ubegrunnet fordi uvedkommende kun har hatt teoretisk tilgang til bildene og vi ikke har grunn til å tro at bildene har kommet på avveier eller at uvedkommende faktisk har sett disse. Det finnes dessverre ikke logger som kan bekrefte dette, men vi har ikke fått noen indikasjoner på at det skal være tilfelle,» heter det.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.