La inkassosaker åpent på nett

Conta Inkasso, som tilbyr kreditorer egeninnkreving på nett, la ut flere av kravene på en åpen nettadresse. Dermed kunne hvem som helst med kjennskap til adressen laste ned filene og få oversikt over navn, adresse og personnummer til flere av skyldnerne.

Og listen over saker er lang. Over 9.000 dokumenter var tilgjengelig. Costa Inkasso sier det skyldes en glipp og stengte nettadressen tidligere fredag.

Dokumentene beskrev i detalj kravene som var rettet mot skyldnerne.

- Dette ser unektlig litt rart ut. Man kan ikke publisere personnummer uten samtykke eller lovhjemmel. Lovhjemmel har de ikke og et samtykke vil være relativt søkt, sier seniorrådgiver, Gunnel Helmers, i Datatilsynet til E24.

Kan kreve erstatning

Rådgiveren forteller at det er eieren av kravet som er ansvarlig for at en innkrevning går riktig for seg.

- Men det fritar ikke automatisk leverandøren. Man må kunne forvente at man forholder seg til en profesjonell part i slike saker.

- Også kundene må kunne kreve det, fortsetter hun.

Konsekvensene av den lemfeldige databehandling kan bli erstatning til dem som nå er hengt ut.

- Hvis folk kommer i problemer kan man kreve erstatning i henhold til personopplysningsloven paragraf 49 (se faktaboks). Og man trenger ikke nødvendigvis å kunne sannsynliggjøre problemene. Det holder med at opplysningene er behandlet i strid med loven.

Behandling av personopplysninger er også regulert i Norske Inkassobyråers Forening sin egen bransjenorm.

- Inkassator har i henhold til personopplysningsloven og inkassoloven taushetsplikt, heter det blant annet i punkt 9.2 i normen som er utarbeidet i samråd med datatilsynet.

Selv om ikke Conta regner seg selv om et inkassobyrå, men et selskap som tilrettelegger for egeninkasso kan de også få problemer med en rekke av sine kunder.

Vil ikke ta stilling til krav

En av selskapene som har brukt Conta for bistand under egeninnkreving er selskapet Overvåkningsbutikken.

- Jeg kan ikke helt fatte hvordan dette kan ha skjedd, sier daglig leder, Fredrik Frej, i Overvåkningsbutikken til E24.

- Men uansett hva som har skjedd, så er utgangspunktet at dette ikke skal være tilgjengelig for noen som helst andre enn de berørte partene. De er helt utenkelig at dette skal ligge åpent på nett.

Frej ønsker å understreke at dette ikke er deres system og at tjenesten er levert av Conta.

- Vi ser på det som en selvfølge at dette skal håndteres profesjonelt av dem.

Frej vil ikke ta stilling til hvem som er eventuelt vil bli erstatningsansvarlig dersom det kommer et krav om erstatning fra en av skyldnere. Han vil uansett ta opp saken med selskapet.

Mat for advokaten

E24 har også snakket med en av dem som har fått sine personlige opplysninger blottlagt på nett.

- Dette virker ikke bra, er hans svar når E24 leser opp hans personnummer på telefon.

- Slik skal det ikke være. Dette er mat for min advokat, sier han med et ønske om å være anonym.

- Dette kan ikke forsvares

Daglig leder for selskapet bak dataglippen legger seg flat:

- Vi ble gjort oppmerksom på dette i dag da vi ble oppringt, sier daglig leder Jonny Lium i Conta Inkasso til E24.

- Vi beklager dette overfor våre kunder og ser alvorlig på hendelsen, dette er noe som ikke skal skje. Når det likevel har skjedd er vi glade for at vi fikset feilen under 10 minutter etter at media gjorde oss oppmerksom på den. Vi vil nå i samråd med våre it-konsulenter og advokat ta stilling til hvordan vi forfølger dette videre.

- Vi ser alvorlig på at noen har videreformidlet data fra våre systemer uten å ta kontakt med oss. Uten at dette dermed betyr at dette kan forsvares på noen som helst på måte.

Ifølge Lium egne tall er det 11 stykker som har besøkt den åpne adressen. Han velger å definere besøkene som ulovlig.

- Et slikt innbrudd på vårt system forutsetter at man kjenner til en helt spesifikk adresse som må skrives inn i nettleserens adressefelt. Det er også slik at dersom man åpner innhold på nettet og vet at det inneholder sensitive opplysninger så regnes det som et innbrudd. Det er det samme som at du får feilsendt post i postkassen og åpner denne.

- Det er også mulig å ringe til folkeregisteret og for å få opplyst personnummer, hevder han.

Lium vet ikke hvor feilen har oppstått.

- Vi byttet server for ca 14 dager siden og det kan mulig feilkilde uten at dette kan garanteres.

Klikk her for å motta E24s Nyhetsbrev

Les flere saker på E24