Personverntabbe av Lånekassen
En feilkobling i Lånekassens datasystem førte til at personlige opplysninger havnet hos feil brukere på lånekassen.no.
Publisert
Sist oppdatert
I sommer fikk fire personer tilgang til opplysninger om andre personer på Lånekassens nettsider. Personene fikk tilgang til en rekke opplysninger om de andre brukerne. Blant opplysningene var navn, adresse, mobiltelefonnummer, kontonummer og søknadsopplysninger til Lånekassen. Det viser dokumenter Universitas har fått innsyn i.
Brukerne oppdaget tabben selv
Tabben ble oppdaget ved at en av de berørte kundene selv varslet Lånekassen om feilen. Da hadde opplysningene vært tilgjengelige på nettet i over 10 dager.
Kunnskapsdepartementet (KD) ble informert om saken 14. august. De skriver i en epost til Lånekassen at de ser svært alvorlig på hendelsen. I eposten fremhever de viktigheten av å sikre personvernet i en tid der stadig mer informasjon legges ut digitalt.
Feilkobling
Jan Erik Ressem, IT-direktør ved Lånekassen, sier at glippen skjedde da Lånekassen skulle legge om grensesnittet mellom Lånekassen og Folkeregisteret. Under omleggingen skal det ha skjedd en feilkobling der feil fødselsnummer ble koblet til feil kundenummer.
– Det var en programmeringsfeil som vi ikke har klart å avdekke i våre testrutiner. Feilen berørte fire kunder. Men det var kun to kunder som fikk se opplysninger om andre brukere, siden de andre ikke hadde logget seg inn i denne perioden, sier Ressem.
Fornøyd med rutinene
– Feilen ble oppdaget av en av de berørte, etter at opplysningene hadde ligget ute i over 10 dager, hva sier det om deres sikringsrutiner?
– Vi har gode sikringsrutiner. Denne typen enkeltstående feil kan være vanskeligå oppdage, selv om det er uheldig at vi ikke oppdaget det. Det er rundt 900 000 kunder i våre systemer, og dette er den eneste slike feilen jeg kjenner til, og den berørte bare noen svært få personer. Det sier meg at sikringssystemtene er gode, selv om de ikke var gode nok i dette tilfellet, sier Ressem.
I en epost til KD skriver Lånekassen at det nå er lagt inn en sperre i systemet som skal sørge for at tilsvarende feil ikke skjer igjen. Kundene som har fått sin informasjon eksponert har blitt informert om dette, skriver Lånekassen.
