Data-avvik i Statsbygg: 1.575 lukkede kanaler var berørt

«Den 19. oktober 2023 ble det introdusert en feil i Teams. Det medførte at alle private team bestilt etter denne dato har vært åpne for innsyn ved søk fra alle med en Statsbygg-konto. Den samme feilen ble også introdusert for alle private kanaler gjennom et script som ble kjørt.»

Det fremgår av Statsbyggs melding om avvik til Datatilsynet, som Byggeindustrien har fått innsyn i.

«Teamene og kanalene har ikke vært åpne for andre enn medlemmene. Filene i dem kan derimot være eksponerte for andre enn teamets medlemmer. Totalt er 57 lukkede teams og 1.575 lukkede kanaler berørt», heter det i meldingen.

Ifølge Statsbygg ble feilen oppdaget og rettet 12. april 2024, men det er usikkert hvilke typer personopplysninger som er berørt av avviket.

«Det kan ikke utelukkes at det finnes andre typer opplysninger, og vi undersøker nå om det også kan omfatte andre typer personopplysninger, herunder sensitive opplysninger», skriver Statsbygg i meldingen.

Avviket kan dreie seg om både ansatte og eksterne personer knyttet til Statsbyggs byggherrevirksomhet, eiendomsforvaltning og rådgivningstjenester, ifølge avviksmeldingen.

«Vi går nå gjennom logger for å sjekke om noen har fått uberettiget tilgang til dokumenter i disse rommene. Omfanget av hendelsen og hvor mange dette omfatter, er så usikkert at det ikke er sendt ut informasjon ennå. Det vurderes å informere om hendelsen», skriver Statsbygg.

– Ikke hatt noen inntrengning

Kommunikasjonsrådgiver i Statsbygg, Stig Pettersen, understreker at alle Statsbygg-Teams kun er tilgjengelig for de med en Statsbygg-konto, og for eksterne som er invitert inn i teamene.

– Ingen av våre datasystemer er allment tilgjengelige, og vi har ikke hatt noen inntrengning i våre systemer. Avviket ble oppdaget ved at en ansatt fant at et dokument i et lukket Teams-rom ved søk i SharePoint hadde vært tilgjengelig for en ansatt som ikke var medlem av dette rommet. Merk at feilen ikke var eksponert for de med ekstern e-postadresse, skriver Pettersen i en e-post til Byggeindustrien.

– Det kan ikke utelukkes at avviket omfatter sensitive opplysninger, ifølge meldingen til Datatilsynet. Kan dere utelukke dette nå?

– Sensitive personopplysninger skal ikke lagres på Teams. Vi har gjort gjennomganger av Teams der det er naturlig å tenke seg at personopplysninger kan forekomme, men det er ikke avdekket noen sensitive opplysninger i disse. Vi har ikke avdekket at noen har fått uberettiget tilgang til noen dokumenter som inneholder sensitive personopplysninger, skriver Pettersen.

Ifølge kommunikasjonsrådgiveren er hendelsen rapportert og informert om i linjen i Statsbygg.

«Må følge opp bruddet internt»

Datatilsynet legger til grunn at Statsbygg har gjennomført de tiltakene som er nødvendige for å utbedre bruddet og begrense eventuelle konsekvenser for enkeltpersoner som er berørt, ifølge et brev fra Datatilsynet til Statsbygg datert 26. april, som Byggeindustrien har fått innsyn i.

«Vi har derfor avsluttet saken. Dere må likevel følge opp bruddet internt. Dere har for eksempel plikt til å dokumentere hvordan dere følger opp håndteringen av bruddet etter personvernforordningen», skriver Datatilsynet.

«Dersom avviksmeldingen gjelder grenseoverskridende behandling av personopplysninger, forutsetter vi at en avviksmelding allerede er sendt til den ledende tilsynsmyndigheten. Det vil være opp til denne myndigheten å avgjøre om bruddet vil følges opp eller ikke», heter det i brevet fra Datatilsynet.

– Ikke vurdert alvorlig nok til at vi ilegger pålegg

Fagsjef for kommunikasjon i Datatilsynet, Guro Skåltveit, forteller at noen saker blir lukket da avvikene ikke oppfyller kriteriene for videre behandling, mens en god del blir tatt videre opp i ordinær saksbehandling.

– Der ber vi først virksomheten om en redegjørelse og deretter kommer vi med et eventuelt varsel om pålegg og, hvis det er alvorlig nok, overtredelsesgebyr. Ved at denne saken er lukket, oppfyller den ikke kriteriene våre for videre behandling, sier Skåltveit til Byggeindustrien.

Videre ser Datatilsynet på avvikets alvorlighetsgrad, hvor mange som er berørt avviket og om Statsbygg har gjort tiltak for at det ikke skal skje igjen, opplyser fagsjefen.

– Det er en helhetsvurdering. På bakgrunn av det lukker vi eller avslutter saken. Hvis denne saken er lukket, er den ikke vurdert som alvorlig nok til at vi ilegger pålegg eller ber om en redegjørelse, påpeker Skåltveit.

– Avviket er lukket

Statsbyggs undersøkelser har ikke avdekket noen informasjon det har vært naturlig å gå videre med til Datatilsynet, opplyser Stig Pettersen i Statsbygg.

– Feilen ble rettet samme dag den ble oppdaget. Avviket er lukket og vi har innført kontrollrutiner for at slike feil ikke skjer på nytt, skriver Pettersen.

Avviksmeldingen gjelder ikke grenseoverskridende behandling av personopplysninger, ifølge Pettersen.

– Det dreier seg kun om opplysninger delt i Statsbyggs eget datasystem av Statsbyggs ansatte med Statsbygg-konto, skriver han.