Datatilsynet varsler milliongebyr til Stortinget

Gebyret varsles for brudd på personopplysningsloven i forbindelse med dataangrepet mot Stortinget i august 2020.

Datatilsynet har sendt et forhåndsvarsel om et overtredelsesgebyr på to millioner kroner til Stortinget. Det skriver de to aktørene i hver sin pressemelding.

– Jeg ser alvorlig på forhåndsvarselet vi har fått fra Datatilsynet. Informasjonssikkerheten var ikke god nok ved angrepstidspunktet i 2020, og vi klarte dessverre ikke å hindre at personopplysninger fra 13 e-postkontoer kom på avveie. Det må derfor forventes en reaksjon fra Datatilsynet, sier Stortingets direktør Marianne Andreassen i en melding.

– Det er samtidig viktig for Stortingets administrasjon å benytte seg av retten til å gi Datatilsynet supplerende opplysninger slik at et vedtak kan fattes på et best mulig grunnlag, sier hun.

Datatilsynet skriver i en separat melding at det «særlig er lagt vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse».

Tofaktorautentisering innebærer at man i tillegg til passord benytter en annen form for beskyttelse for å logge seg inn. Dette kan eksempelvis være knyttet opp til fysiske objekter som en bankbrikke, eller applikasjoner på en mobiltelefon.

– Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, for eksempel gjennom bruk av tofaktorautentisering, sier Datatilsynets direktør Bjørn Erik Thon.

Undersøkelsene har avdekket at angriperne lastet ned data, inkludert personopplysninger fra e-postkontoene, om de folkevalgte og Stortingets ansatte. Dette inkluderte både bank- og kontoopplysninger, fødselsnummer og helseopplysninger.

– Resultatet er at Stortingets administrasjon og representantene har mistet kontroll over personopplysningene som har ligget i deres e-postkontoer, sier Thon.