I slutten av oktober gikk alarmen hos Evry på Fornebu:
Personopplysninger om over 9000 personer hadde ligget tilgjengelig i fire måneder for ansatte i Ukraina, stikk i strid med hva oppdragsgiveren Skatteetaten hadde krevd.
Opplysningene gjaldt alle Skatteetatens ansatte i hele Norge, og i tillegg flere tusen skatteoppkrevere og namsmenn. Navn, brukeridentitet, epostadresser og informasjon om nærmeste sjef og avdeling var potensielt på avveier.
I meldingen fra Skatteetaten til Datatilsynet om saken, beskriver Skatteetaten at koblingen mellom opplysningene kan gi risiko for sosial manipulasjon av personene. Sosial manipulasjon kan bety svindel ved hjelp av personlig informasjon, for eksempel phishing-eposter fra hackere som utgir seg for å være noen mottakeren kjenner.
Skatteetaten hadde vært tydelig overfor Evry på at ansatte i Ukraina ikke kunne brukes av risikohensyn.
– Vi var ekstra oppmerksomme på at de ikke skulle utøve tjenesten utenfor EØS eller EU. Det fikk vi ved to anledninger eksplisitt bekreftelse på. Vi var kjent med at de har operasjoner i Ukraina, for eksempel. Vi sa det ikke var aktuelt, sier it-sjef i Skatteetaten Jørn Leonhardsen.
Evry ga Skatteetaten bekreftelse på at Ukraina ikke skulle brukes. Første gang i juni i år, så noen måneder senere.
– Evry lever jo av å være en profesjonell driftsleverandør - de skulle i prinsippet kunne ha veldig gode rutiner på dette, sier Leonardsen.
– Når det gis tilgang til persondata i Ukraina, så er det svært alvorlig, sier han.
Ukraina scorer typisk lavt på rangeringer om korrupsjon og vanstyre.
Fløy ut tre ansatte fra Ukraina
Da Evry 24. oktober oppdaget at 14 ansatte i Ukraina hadde hatt tilgang til opplysningene i fire måneder, siden 25. juni, begynte krisehåndteringen. Tre av de ansatte i Ukraina som hadde jobbet på prosjektet ble fløyet inn og bedt om å jobbe videre fra Evrys kontorer på Fornebu.
Samtidig måtte selskapet undersøke om opplysningene hadde blitt hentet ut eller brukt. Det ble de ikke, ifølge Evry.
– Evry har forsikret oss om at informasjonen hverken er blitt brukt eller manipulert. Men dette er et brudd på personvernlovgivningen, og derfor er det veldig alvorlig, sier Leonhardsen.
Med gigantiske it-strukturer med kontroll på sensitive persondata om over fem millioner nordmenn, jobber Skatteetaten kontinuerlig med it-sikkerhet og personvern.
– I Skatteetaten er vi svært opptatt av tillit. Vi er helt avhengige av høy tillit i befolkningen for å kunne løse våre oppgaver. Et viktig element i det er hvordan vi håndterer personopplysninger. Derfor har vi dette på radaren hele tiden.
– Vil dette få konsekvenser for vurderingen av fremtidige tilbud fra Evry?
– Vi har over mange år hatt en god relasjon til Evry. Vi har registrert at de har beklaget på det sterkeste og reagerte raskt da det ble oppdaget. Samtidig har historien lært oss at vi må fortsette å fokusere på personvern i vurdering av fremtidige driftsleverandører, herunder også Evry.
Kontrakt verdt 260 mill.
Storkontrakten som Evry ikke skulle drifte fra Ukraina, gjaldt en leveranse av pc-er og mobiltelefoner for alle Skatteetatens ansatte, og brukerhjelp når de ansatte skulle støte på it-problemer.
Kontrakten var verdt over en kvart milliard kroner. Da Evry selv annonserte at de hadde vunnet avtalen, var de «stolte og glade» over å utvide arbeidet for Skatteetaten.
– Medarbeidere er i dag avhengig av sikre og tilgjengelige verktøy for å gjøre en god og effektiv jobb, het det i pressemeldingen.
Evry beklager tabben.
– Dette er en svikt i våre interne rutiner og vi beklager på det sterkeste at dette skjedde. Vi har bedt EY gjøre en grundig revisjon av hendelsen for å hindre at et slikt avvik skjer igjen, sier fagansvarlig i Evry, Jon Bremnes.
– Vi tar personvern og sikkerhet på høyeste alvor. I forbindelse med oppstart av leveranse for Skattetaten oppsto en svikt i våre interne rutiner, noe som medførte at 14 ukrainske medarbeidere fikk tilgang til data som de ikke skulle hatt. Dette beklager vi på det sterkeste, og vi ettergår dette for å hindre at et slikt avvik skjer igjen. (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.