Datatilsynet fortalte Novo Nordisk om datalæk: Lagde testside online ved en fejl

Medicinalgiganten opdagede først læk af persondata fra 95.000 jobsøgende, da Datatilsynet henvendte sig.

I forsøget på at rette en funktion i Novo Nordisk såkaldte job alert, kom en udvikler til at teste siden på et online, dummy website.

Sådan forklarer medicinalfirmaet den fejl, som i januar ledte til læk af persondata for alle de potentielle jobsøgende, der havde skrevet sig op til virksomhedens jobagent.

Novo Nordisk orienterede i går de berørte brugere i en mail, hvor episoden tillægges en menneskelig fejl hos en ekstern it-leverandør.

Læs også: Jobsøgendes personoplysninger blev lagt på Novo Nordisk-hjemmeside ved en fejl

Novo Nordisks presseafdeling har til business.dk oplyst, at data fra ca. 95.000 personer blev lækket.

Charlotte Zarp-Andersson, der er talsmand for Novo Nordisk, oplyser i en mail til version2, at selskabet ikke vil oplyse navnet på leverandøren.

Hun uddyber dog, at fejlen er opstået, da Novo Nordisk bad leverandøren om at rette en fejl i den funktion, som Novo Nordisk bruger til at hente data om de personer, der har tilmeldt sig job-agenten.

»Ved en menneskelig fejl hos IT-leverandøren, og i strid med leverandørens egne procedurer og god IT-praksis, kom en ansat, som arbejdede på at løse problemet, til at teste siden på et live, dummy website,« skriver Charlotte Zarp-Andersson.

Datatilsynet pointerede læk

Fejlen blev ikke opdaget før Datatilsynet henvendte sig - efter tilsynet havde modtaget klager over datalækket.

Ifølge Charlotte Zarp-Andersson opdagede Novo Nordisk ikke fejlen selv, fordi test websitet ikke var tilgængelig fra novonordisk.com, men kun kunne findes via søgemaskiner.

Den lækkede data tæller navn, telefonnummer og mail såvel som de områder, som personen har været interesseret i en stilling i. Data'en var ifølge Novo Nordisk tilgængelig på firmaets hjemmeside mellem den 10. januar og den 31. januar i år.

Læs også: 3 fikser https-svipser på login-side i kølvandet på sag om datalæk

I mailen til de berørt brugere forsikrer Novo Nordisk, at man nu tager de nødvendige forholdsregler, så episoden ikke gentager sig.

»Vores eksterne IT-leverandør har forpligtet sig til en række tiltag der skal sikre at fejlen ikke sker igen, blandt andet har medarbejderne fået yderligere uddannelse i de relevante procedurer,« skriver Charlotte Zarp-Andersson til Version2.

»Derudover har leverandøren begrænset antallet af medarbejdere, der kan publicere Novo Nordisks websider. Endelig vil Novo Nordisk snarest afholde en audit af den eksterne IT-leverandørs personlige databeskyttelsestiltag,« fortsætter hun.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Christensen

Jeg beklager at hoppe op på min kæphest igen, igen! Men uanset om der er tale om private eller offentlige aktører, så få dog stillet krav om at ALLE har en relevant, aktuel, effektiv og dokumenterbar "Egen kvalitetskontrol"
Det er ikke svært, det koster lidt resourcer - til gengæld så ved man med 95% sikkerhed hvad der foregår i virksomhed/organisation og hvilken performance man kan forvente.

  • 1
  • 0
Log ind eller Opret konto for at kommentere