Ingen uvedkommende så selvangivelsen til "Oslo-mann" (36)
Altinn er en svært sikker plattform. Den uheldige hendelsen i mars 2012 ga ingen uvedkommende tilgang til selvangivelsen til den 36-år gamle Oslo-mannen og ingen var innlogget som 36-åringen.
Norske medier har ved gjentatte anledninger hevdet at «hele Norge fikk se selvangivelsen til Oslo-mann (36)». Det er ikke riktig.
Den uheldige hendelsen 20. mars 2012 skyldtes en feil i en datakomponent – en såkalt lastfordeler og cache-modul - som brukes i svært mange store nettsteder i privat og offentlig sektor, både internasjonalt og i Norge. Feilen hadde ligget latent i komponenten i flere år uten å bli utløst eller oppdaget tidligere. Feilen førte til at komponenten lagret en kopi av forsiden til meldingsboksen til 36-åringen og viste denne siden til mange brukere som ennå ikke hadde logget inn i Altinn.
To fødselsnumre ble vist
Personopplysningene som ble vist, var navn og fødselsnummer til to personer. Datatilsynet slo fast at hendelsen var ubehagelig og krenkende for 36-åringen og kona hans, men at de ikke var blitt utsatt for større risiko for misbruk av personopplysninger enn andre nettbrukere.
Ingen var innlogget som 36-åringen, og de som klikket på lenken til selvangivelsen hans, fikk beskjed om at de ikke hadde tilgang. Feilen er rettet for lengst og årsakene til at den kunne oppstå er fjernet. Produsenten har beklaget feilen og rettet den opp i en verdensomspennende oppdatering noen dager etter at episoden skjedde. Altinn har også satt i verk andre tiltak for å forhindre at noe lignende skal kunne skje igjen.
Datasikkerhet har førsteprioritet
Altinn har svært gode mekanismer for å ivareta sikkerheten til brukerne. Løsningen overvåkes døgnet rundt, og et av Norges fremste selskaper på datasikkerhet gjennomfører jevnlige tester av sikkerheten i løsningen.
Altinn-forvaltningen tar hendelsen i mars 2012 svært alvorlig. Løsningen ble tatt ned så raskt som mulig etter at feilen oppsto, og ble ikke åpnet igjen før vi var 100 prosent sikre på at feilen var funnet og ikke kunne oppstå igjen. Vi beklager krenkelsen av de to involverte som fikk sine fødselsnumre eksponert. Men hendelsen er også alvorlig fordi den svekker folks tillit til elektroniske løsninger. Her har media også et ansvar for tillit- og omdømmetap når de framstiller hendelser som mer alvorlige enn de faktisk er.
Vi vil også nevne at Brønnøysundregistrene tok kontakt med nettutgaven til en av Norges største aviser og fikk dem til å sladde fødselsnummer/navn på de involverte fra skjermdumpen avisen brukte til å illustrere saken 20. mars.
